CVE-2026-34725

Nome do Software Vulnerável e Versões Afetadas DbGate versões 7.0.0 através de 7.1.5

Descrição DbGate, um gerenciador de banco de dados multiplataforma, contém uma vulnerabilidade de scripting cross-site (XSS) armazenado devido a strings de ícones SVG controladas por um invasor sendo renderizadas como HTML bruto sem a devida sanitização. Na interface web, isso permite a execução de scripts no navegador de outro usuário. No aplicativo desktop Electron, isso pode levar à execução de código local porque o Electron está configurado com nodeIntegration: true e contextIsolation: false. A questão reside no caminho de renderização do ícone, especificamente dentro dos componentes FontIcon.svelte, apps.js, DatabaseAppObject.svelte e AppObjectCore.svelte. Um invasor pode explorar isso criando ou modificando uma definição de aplicativo para incluir um applicationIcon malicioso. Quando outro usuário visualizar uma entrada de banco de dados ou aplicativo correspondente, o código malicioso será executado. O impacto é mais grave no aplicativo desktop Electron devido à configuração que permite o acesso às APIs Node/Electron.

Recomendações As versões 7.0.0 a 7.1.5 do DbGate devem ser atualizadas para a versão 7.1.5 ou posterior.