ExtensionPedia
Sider: Общение со всеми ИИ: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Общение со всеми ИИ: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude, Grok — все в одной боковой панели с поддержкой ИИ для поиска, чтения и записи данных.

Анализ рисков CVE Выявление поведения Разрешения... Разрешения хоста Секреты Политика Конфиденциальности
Отправить отзыв
Сводка рисков

7.1 / 10

Высокий риск

Для версии расширения 5.25.10

Последняя версия
Критический уровень серьезности разрешений
3 CVE
Возраст обновленной версии
Манифест V3
Доступно в Интернет-магазине Chrome
Политика конфиденциальности доступна.
Справедливый уровень вовлеченности
CVE (3)
ID Строгость CVSS
CVE-2026-4800

Влияние: Исправление уязвимости CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) добавило проверку для параметра переменной в _.template, но не применило ту же проверку к именам ключей options.imports. Оба пути ведут в один и тот же конструктор Function(). Когда приложение передает недоверенные входные данные в качестве имен ключей options.imports, злоумышленник может внедрить выражения параметров по умолчанию, которые выполняют произвольный код во время компиляции шаблона. Кроме того, _.template использует assignInWith для слияния импортов, который перечисляет унаследованные свойства через for..in. Если Object.prototype был загрязнен каким-либо другим вектором, загрязненные ключи копируются в объект imports и передаются в Function(). Патчи: Пользователям следует обновиться до версии 4.18.0. Обходные пути: Не передавайте недоверенные входные данные в качестве имен ключей в options.imports. Используйте только статические имена ключей, контролируемые разработчиком.

Основной
8.1
CVE-2026-2950

Влияние: Версии Lodash 4.17.23 и более ранние уязвимы к загрязнению прототипов в функциях _.unset и _.omit. Исправление (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) защищает только от строковых ключей, поэтому злоумышленник может обойти проверку, передавая сегменты пути, обернутые в массив. Это позволяет удалять свойства из встроенных прототипов, таких как Object.prototype, Number.prototype и String.prototype. Проблема позволяет удалять свойства прототипов, но не позволяет перезаписывать их исходное поведение. Патчи: Эта проблема исправлена ​​в версии 4.18.0. Обходные пути: Нет. Обновите до исправленной версии.

Средняя
6.5
CVE-2025-13465

В версиях Lodash от 4.0.0 до 4.17.22 существует уязвимость, связанная с загрязнением прототипов в функциях _.unset и _.omit. Злоумышленник может передавать специально созданные пути, которые заставляют Lodash удалять методы из глобальных прототипов. Эта проблема позволяет удалять свойства, но не позволяет перезаписывать их исходное поведение. В версии 4.17.23 эта проблема исправлена.

Незначительный
0
Выявление поведения

Выявление поведения

Разблокируйте полную матрицу MITRE ATT&CK

Запросите Демо
Разрешения (12)
Имя Строгость
Файлы

Расширения с разрешением на файлы cookie могут извлекать и изменять файлы cookie (требуются разрешения хоста).

критический
Сценарии

Расширения с разрешением на выполнение сценариев могут внедрять и выполнять код на веб-страницах, который потенциально может использоваться для кражи данных или перехвата сеанса (требуются разрешения хоста, доступные с версии Manifest V3).

критический
Декларативный сетевой запрос

Расширения с разрешением declarativeNetRequest могут блокировать сетевые запросы, не требуя разрешений хоста, а также перенаправлять запросы и изменять заголовки, если у них есть разрешения хоста.

Высокий
Захват вкладки

Расширения с разрешением tabCapture могут захватывать содержимое любой вкладки. TabCapture необходимо вызывать жестом пользователя, если только расширение не установлено принудительно — в этом случае захват экрана возможен без взаимодействия с пользователем.

Высокий
Tabs

Расширения с разрешением на вкладки могут запрашивать URL-адрес, pendingUrl, заголовок и favIconUrl любой вкладки.

Высокий
Неограниченный хранения

Расширения с разрешением unlimitedStorage не имеют ограничений по квоте хранилища для chrome.storage.local, IndexedDB, Cache Storage и Origin Private File System.

Высокий
Сигнализация

Расширения с разрешением на оповещения могут планировать запуск кода периодически или в указанное время в будущем.

Средний
Контекстные меню

Расширения с разрешением contextMenus могут добавлять элементы в контекстное меню браузера (также известное как контекстное меню).

Средний
Выкл. экран

Используйте API-интерфейс для создания и управления документами, отображаемыми вне экрана.

Средний
Боковая Панель

Расширения с разрешением sidePanel могут отображать контент на боковой панели браузера рядом с основным контентом веб-страницы, обеспечивая постоянный интерфейс, дополняющий процесс просмотра пользователем (доступно с версии Manifest V3).

Средний
Память

Расширения с разрешением на хранение могут хранить и извлекать пользовательские данные, которые могут сохраняться даже после очистки кэша и истории просмотров.

Средний
Активная вкладка

Расширения с разрешением activeTab могут временно получать доступ к активной вкладке, включая внедрение скриптов и изменение содержимого, но только при явном запросе со стороны пользователя. Доступ отзывается, когда пользователь закрывает вкладку или переходит на другую страницу. По сравнению с ActiveTab безопаснее, поскольку не предоставляет постоянного доступа.

Низкий
Права доступа хоста (2)
https://*.openai.com/
Секреты

Секреты не обнаружены

Не обнаружено никаких открытых ключей API или учетных данных.

Персональные данные

Персональные данные

Разблокировать оценку рисков политики конфиденциальности

Запросите Демо