Plataforma
nodejs
Componente
dbgate-web
Corregido en
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.1.5
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en dbgate-web hasta la versión 7.1.4. Esta falla afecta al manejo de cadenas de iconos SVG, específicamente a la función ubicada en packages/web/src/icons/FontIcon.svelte. La manipulación del argumento 'applicationIcon' puede permitir la ejecución de scripts maliciosos en el navegador de la víctima, comprometiendo la confidencialidad e integridad de la información. La actualización a la versión 7.1.5 soluciona esta vulnerabilidad.
Un atacante podría explotar esta vulnerabilidad XSS para inyectar código JavaScript malicioso en la página web de dbgate-web. Este código podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web. El impacto potencial incluye el robo de credenciales de acceso a bases de datos, la manipulación de datos sensibles, y la ejecución de acciones en nombre del usuario afectado. La naturaleza remota de la explotación hace que esta vulnerabilidad sea particularmente preocupante, ya que un atacante podría comprometer el sistema sin necesidad de acceso físico o autenticación previa. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la facilidad de explotación y el potencial impacto hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes. La fecha de publicación de la vulnerabilidad es 2026-04-13.
Organizations and individuals using DbGate for database management, particularly those relying on older versions (prior to 7.1.5), are at risk. Shared hosting environments where multiple users share the same DbGate instance are particularly vulnerable, as an attacker could potentially exploit the vulnerability to compromise other users' accounts.
• nodejs / server:
grep -r 'applicationIcon' ./packages/web/src/• generic web:
curl -I <dbgate_url>/packages/web/src/icons/FontIcon.svelte | grep -i 'content-type'disclosure
patch
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar dbgate-web a la versión 7.1.5 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todas las entradas de usuario. Además, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, verificar la correcta funcionalidad de la aplicación y confirmar que la vulnerabilidad ha sido resuelta.
Actualice DbGate a la versión 7.1.5 o posterior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS) en el manejo de iconos SVG. Esta actualización corrige la forma en que se procesan los argumentos de iconos, previniendo la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6216 is a cross-site scripting (XSS) vulnerability affecting DbGate web components up to version 7.1.4, allowing attackers to inject malicious scripts.
You are affected if you are using DbGate versions prior to 7.1.5. Check your current version and upgrade immediately if vulnerable.
Upgrade DbGate to version 7.1.5 or later. This resolves the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While the CVSS score is LOW, the vulnerability has been publicly disclosed, increasing the risk of exploitation. Monitor your systems for suspicious activity.
Refer to the DbGate official security advisory for detailed information and updates regarding CVE-2026-6216.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.