ExtensionPedia
Sider: Converse com todas as IAs: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Converse com todas as IAs: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude e Grok, tudo em uma única barra lateral de IA, para busca, leitura e escrita com IA.

Análise de risco CVEs Detecções Comportamentais Permissões Permissões do Host Segredos Política de Privacidade
Envie seu comentário
Resumo de Risco

7.1 / 10

Alto Risco

Para a versão de extensão 5.25.10

Última versão
Gravidade das Permissões Críticas
3 CVEs
Versão atualizada Idade
V3 do manifesto
Disponível na Chrome Web Store
Política de Privacidade Disponível
Taxa de engajamento justa
CVEs (3)
ID Gravidade CVSS
CVE-2026-4800

Impacto: A correção para CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) adicionou validação para a opção de variável em `_.template`, mas não aplicou a mesma validação aos nomes de chave em `options.imports`. Ambos os caminhos convergem para o mesmo construtor `Function()`. Quando um aplicativo passa entradas não confiáveis ​​como nomes de chave em `options.imports`, um atacante pode injetar expressões de parâmetro padrão que executam código arbitrário no momento da compilação do template. Além disso, `_.template` usa `assignInWith` para mesclar importações, o que enumera propriedades herdadas por meio de `for..in`. Se `Object.prototype` tiver sido corrompido por qualquer outro vetor, as chaves corrompidas são copiadas para o objeto `imports` e passadas para `Function()`. Correções: Os usuários devem atualizar para a versão 4.18.0. Soluções alternativas: Não passe entradas não confiáveis ​​como nomes de chave em `options.imports`. Use apenas nomes de chave estáticos controlados pelo desenvolvedor.

Principal
8.1
CVE-2026-2950

Impacto: As versões do Lodash 4.17.23 e anteriores são vulneráveis ​​à poluição de protótipos nas funções `_.unset` e `_.omit`. A correção para (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) protege apenas contra membros de chave do tipo string, permitindo que um atacante contorne a verificação passando segmentos de caminho encapsulados em arrays. Isso possibilita a exclusão de propriedades de protótipos integrados, como `Object.prototype`, `Number.prototype` e `String.prototype`. O problema permite a exclusão de propriedades de protótipos, mas não permite a sobrescrita de seu comportamento original. Correções: Este problema foi corrigido na versão 4.18.0. Soluções alternativas: Nenhuma. Atualize para a versão corrigida.

Moderado
6.5
CVE-2025-13465

As versões do Lodash de 4.0.0 a 4.17.22 são vulneráveis ​​à poluição de protótipos nas funções `_.unset` e `_.omit`. Um atacante pode passar caminhos manipulados que fazem com que o Lodash exclua métodos de protótipos globais. O problema permite a exclusão de propriedades, mas não permite sobrescrever seu comportamento original. Essa vulnerabilidade foi corrigida na versão 4.17.23.

Menor
0
Detecções Comportamentais

Detecções Comportamentais

Desbloqueie a matriz completa do MITRE ATT&CK

Solicite uma Demonstração
Permissões (12)
Nome Gravidade
Cookies

Extensões com permissão de cookies podem recuperar e modificar cookies (requer permissões de host).

Críticas
Scripting

Extensões com permissão de script podem injetar e executar código em páginas da web, o que pode ser potencialmente usado para exfiltração de dados ou sequestro de sessão (requer permissões de host, disponíveis desde o Manifest V3).

Críticas
Solicitação de rede declarativa

Extensões com a permissão declarativeNetRequest podem bloquear solicitações de rede sem exigir permissões de host, além de redirecionar solicitações e modificar cabeçalhos se tiverem permissões de host.

Alto
Captura de guia

Extensões com a permissão tabCapture podem capturar o conteúdo de qualquer aba. tabCapture precisa ser invocado por um gesto do usuário, a menos que a extensão seja instalada à força, nesse caso ela pode capturar a tela sem interação do usuário.

Alto
Tabs

Extensões com permissão de guias podem consultar url, pendingUrl, título e favIconUrl de qualquer guia.

Alto
Armazenamento ilimitado

Extensões com a permissão unlimitedStorage não têm restrições de cota de armazenamento para chrome.storage.local, IndexedDB, Cache Storage e Origin Private File System.

Alto
Alarmes

Extensões com a permissão de alarmes podem agendar a execução de código periodicamente ou em um horário específico no futuro.

Suporte:
Menus de Contexto

Extensões com a permissão contextMenus podem adicionar itens ao menu de contexto do navegador (também conhecido como menu do botão direito).

Suporte:
Fora da tela

Use a API offscreen para criar e gerenciar documentos offscreen.

Suporte:
Painel Lateral

Extensões com a permissão sidePanel podem exibir conteúdo no painel lateral do navegador junto com o conteúdo principal de uma página da web, permitindo uma interface persistente que complementa a jornada de navegação do usuário (disponível desde o Manifest V3).

Suporte:
Armazenamento

Extensões com permissão de armazenamento podem armazenar e recuperar dados do usuário, que podem persistir mesmo após limpar o cache e o histórico de navegação.

Suporte:
Aba Ativa

Extensões com a permissão activeTab podem acessar temporariamente a aba ativa, incluindo a injeção de scripts e a modificação de conteúdo, mas somente quando explicitamente invocadas por um gesto do usuário. O acesso é revogado quando o usuário fecha a aba ou navega para outra. Em comparação com , activeTab é mais seguro, pois não concede acesso persistente.

Baixo
Permissões do host (2)
https://*.openai.com/
Segredos

Nenhum segredo encontrado

Nenhuma chave de API ou credencial exposta foi detectada.

Política de Privacidade

Política de Privacidade

Desbloqueie a avaliação de risco da política de privacidade

Solicite uma Demonstração