प्लेटफ़ॉर्म
nodejs
घटक
dbgate-web
में ठीक किया गया
7.0.1
7.1.5
CVE-2026-34725 DbGate में मौजूद एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण SVG आइकन स्ट्रिंग्स के माध्यम से स्क्रिप्ट को इंजेक्ट करने और निष्पादित करने की अनुमति देती है, जिससे अन्य उपयोगकर्ताओं के ब्राउज़रों में कोड निष्पादित हो सकता है। यह समस्या DbGate के संस्करण 7.0.0 से 7.1.5 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 7.1.5 में ठीक कर दिया गया है।
CVE-2026-34725 DbGate को प्रभावित करता है और एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता प्रस्तुत करता है। यह दोष DbGate द्वारा SVG आइकन स्ट्रिंग को संभालने के तरीके के कारण उत्पन्न होता है। सॉफ्टवेयर इन स्ट्रिंग को उचित सैनिटाइजेशन के बिना सीधे HTML के रूप में प्रस्तुत करता है, जिससे एक हमलावर दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। वेब UI में, इससे दूसरे उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट निष्पादन हो सकता है। अधिक महत्वपूर्ण बात यह है कि Electron डेस्कटॉप एप्लिकेशन के भीतर, nodeIntegration: true और contextIsolation: false कॉन्फ़िगरेशन के कारण, इस भेद्यता का उपयोग स्थानीय कोड निष्पादन प्राप्त करने के लिए किया जा सकता है, जिससे सिस्टम सुरक्षा से समझौता होता है।
एक हमलावर DbGate द्वारा संग्रहीत और बाद में प्रस्तुत किए जाने वाले संदर्भ में दुर्भावनापूर्ण SVG स्ट्रिंग को इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। यह एक समझौता किए गए SVG फ़ाइल को अपलोड करके, एप्लिकेशन कॉन्फ़िगरेशन को संशोधित करके या संग्रहीत डेटा में हेरफेर करके प्राप्त किया जा सकता है। वेब UI में, हमलावर साझाकरण या सहयोग कार्यक्षमता का लाभ उठाकर दूसरे उपयोगकर्ता को दुर्भावनापूर्ण लिंक भेज सकता है। Electron एप्लिकेशन के भीतर, स्थानीय कोड निष्पादन हमलावर को संवेदनशील फ़ाइलों तक पहुंचने, मैलवेयर स्थापित करने या सिस्टम को नियंत्रित करने की अनुमति देगा।
Organizations using DbGate for database management, particularly those deploying the Electron desktop application, are at risk. Shared hosting environments where multiple users share a single DbGate instance are especially vulnerable, as an attacker could potentially compromise other users' accounts. Users relying on legacy DbGate configurations with less stringent security controls are also at higher risk.
• nodejs / desktop: Monitor DbGate Electron app processes for unusual network activity or unexpected file modifications. Use process monitoring tools to detect any suspicious child processes spawned by DbGate.
Get-Process dbgate | Select-Object ProcessName, Id, CPU, WorkingSet• generic web: Examine DbGate web server access logs for requests containing SVG content with potentially malicious attributes. Look for patterns like <svg onload= or <svg onmouseover=.
grep '<svg onload=' /var/log/apache2/access.log• generic web: Check response headers for unexpected content-type values when rendering SVG icons. A properly sanitized SVG should be served with a image/svg+xml content type.
curl -I https://your-dbgate-instance/icons/malicious.svg | grep Content-Typedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34725 के लिए प्राथमिक शमन DbGate को संस्करण 7.1.5 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो SVG आइकन स्ट्रिंग को प्रस्तुत करने से पहले उन्हें सैनिटाइज करता है, जिससे दुर्भावनापूर्ण कोड इंजेक्शन को रोका जा सकता है। इसके अतिरिक्त, Electron एप्लिकेशन सुरक्षा नीतियों की समीक्षा करें, विशेष रूप से nodeIntegration और contextIsolation कॉन्फ़िगरेशन। nodeIntegration को अक्षम करने और contextIsolation को सक्षम करने से भेद्यता का शोषण होने की स्थिति में स्थानीय कोड निष्पादन के जोखिम को काफी कम किया जा सकता है। रक्षा में गहराई सुरक्षा प्रथाओं को लागू करना और एप्लिकेशन गतिविधि की निगरानी करना भी अनुशंसित है।
Actualice DbGate a la versión 7.1.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la configuración de applicationIcon, que podría permitir la ejecución remota de código en la aplicación Electron. La actualización mitiga el riesgo de que un atacante explote esta vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक प्रकार की भेद्यता है जो एक हमलावर को वेबसाइट में दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है, जिसे तब अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित किया जाता है।
nodeIntegration और contextIsolation कॉन्फ़िगरेशन के कारण, दुर्भावनापूर्ण कोड ऑपरेटिंग सिस्टम संसाधनों तक पहुंच सकता है, जिससे स्थानीय कोड निष्पादन सक्षम हो सकता है।
एप्लिकेशन तक पहुंच को प्रतिबंधित करने और नेटवर्क गतिविधि की निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
सुरक्षा स्कैनिंग उपकरण XSS भेद्यताओं का पता लगा सकते हैं, लेकिन भेद्यता के अस्तित्व और प्रभाव की पुष्टि करने के लिए मैन्युअल प्रवेश परीक्षण करना महत्वपूर्ण है।
nodeIntegration वेब पेज पर JavaScript कोड को Node.js API तक पहुंचने की अनुमति देता है। contextIsolation वेब पेज JavaScript कोड को Node.js कोड से अलग करता है, जिससे सुरक्षा में सुधार होता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।