ExtensionPedia
Sidor: Chatta med alla AI: GPT-5, Claude, DeepSeek, Gemini, Grok

Sidor: Chatta med alla AI: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude, Grok, allt i ett AI-sidofält, för AI-sökning, läsning och skrivning.

Riskanalys CVE Beteendedetekteringar behörigheter Värdbehörigheter Secrets Integritetspolicy
Skicka feedback
Risksammanfattning

7.1 / 10

Hög risk

För tilläggsversion 5.25.10

Senaste versionen
Kritiska behörigheters allvarlighetsgrad
3 CVE:er
Uppdaterad versionsålder
Manifest V3
Tillgänglig i Chrome Web Store
Integritetspolicy tillgänglig
Rättvis engagemangsgrad
CVE:er (3)
ID Svårighetsgraden CvSs
CVE-2026-4800

Effekt: Åtgärden för CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) lade till validering för variabelalternativet i _.template men tillämpade inte samma validering på nyckelnamn i options.imports. Båda sökvägarna går in i samma Function()-konstruktormottagare. När en applikation skickar otillförlitlig inmatning som nyckelnamn i options.imports kan en angripare injicera standardparameteruttryck som exekverar godtycklig kod vid mallkompileringstillfället. Dessutom använder _.template assignInWith för att sammanfoga imports, vilket räknar upp ärvda egenskaper via for..in. Om Object.prototype har förorenats av någon annan vektor kopieras de förorenade nycklarna till imports-objektet och skickas till Function(). Patchar: Användare bör uppgradera till version 4.18.0. Lösningar: Skicka inte otillförlitlig inmatning som nyckelnamn i options.imports. Använd endast utvecklarkontrollerade, statiska nyckelnamn.

Större
8.1
CVE-2026-2950

Effekt: Lodash-versionerna 4.17.23 och tidigare är sårbara för prototypföroreningar i funktionerna _.unset och _.omit. Åtgärden för (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) skyddar endast mot strängnyckelmedlemmar, så en angripare kan kringgå kontrollen genom att skicka array-wrapped path-segment. Detta tillåter borttagning av egenskaper från inbyggda prototyper som Object.prototype, Number.prototype och String.prototype. Problemet tillåter borttagning av prototypegenskaper men tillåter inte att deras ursprungliga beteende skrivs över. Patchar: Det här problemet är patchat i 4.18.0. Lösningar: Inga. Uppgradera till den patchade versionen.

Moderate
6.5
CVE-2025-13465

Lodash-versionerna 4.0.0 till 4.17.22 är sårbara för prototypföroreningar i funktionerna _.unset och _.omit. En angripare kan skicka specialdesignade sökvägar som gör att Lodash tar bort metoder från globala prototyper. Problemet tillåter borttagning av egenskaper men inte överskrivning av deras ursprungliga beteende. Problemet är åtgärdat i 4.17.23.

Mindre
0
Beteendedetekteringar

Beteendedetekteringar

Lås upp hela MITRE ATT&CK-matrisen

Börja här
Behörigheter (12)
Namn Svårighetsgraden
Cookies

Tillägg med cookiebehörighet kan hämta och ändra cookies (kräver värdbehörighet).

Kritisk
scripting

Tillägg med skriptbehörighet kan injicera och exekvera kod på webbsidor, vilket potentiellt kan användas för dataexfiltrering eller sessionskapning (kräver värdbehörigheter, tillgängligt sedan Manifest V3).

Kritisk
Deklarativ nätförfrågan

Tillägg med behörigheten declarativeNetRequest kan blockera nätverksförfrågningar utan att kräva värdbehörigheter, och omdirigera förfrågningar och ändra rubriker om de har värdbehörigheter.

Hög
Flikinspelning

Tillägg med tabCapture-behörigheten kan fånga innehållet på vilken flik som helst. tabCapture måste anropas av en användargest, såvida inte tillägget tvångsinstalleras, i vilket fall det kan fånga skärmen utan användarinteraktion.

Hög
Flikar

Tillägg med flikbehörighet kan fråga efter URL, pendingUrl, titel och favIconUrl för vilken flik som helst.

Hög
Obegränsat lagringsutrymme

Tillägg med behörigheten unlimitedStorage har inga begränsningar för lagringskvoter för chrome.storage.local, IndexedDB, Cache Storage och Origin Private File System.

Hög
Larm

Tillägg med larmbehörighet kan schemalägga kod att köras regelbundet eller vid en viss tidpunkt i framtiden.

Medium
Kontextmenyer

Tillägg med behörigheten contextMenus kan lägga till objekt i webbläsarens snabbmeny (även känd som högerklicksmenyn).

Medium
Utanför skärmen

Använd offscreen API:et för att skapa och hantera offscreen-dokument.

Medium
Sidopanel

Tillägg med sidePanel-behörigheten kan visa innehåll i webbläsarens sidopanel bredvid huvudinnehållet på en webbsida, vilket möjliggör ett beständigt gränssnitt som kompletterar användarens surfupplevelse (tillgängligt sedan Manifest V3).

Medium
lagring

Tillägg med lagringsbehörighet kan lagra och hämta användardata, vilka kan finnas kvar även efter att cachen och webbhistoriken har rensats.

Medium
Aktiv flik

Tillägg med activeTab-behörigheten kan tillfälligt komma åt den aktiva fliken, inklusive att injicera skript och ändra innehåll, men bara när det uttryckligen anropas av en användargest. Åtkomsten återkallas när användaren stänger fliken eller navigerar bort. Jämfört med , activeTab är säkrare eftersom det inte ger permanent åtkomst.

Låg
Värdbehörigheter (2)
https://*.openai.com/
Secrets

Inga hemligheter funna

Inga exponerade API-nycklar eller inloggningsuppgifter upptäcktes

Integritetspolicy

Integritetspolicy

Lås upp riskbedömningen för integritetspolicyn

Börja här