dbgate-web: Opgeslagen XSS in applicationIcon leidt tot potentiële RCE in Electron vanwege onveilige renderer configuratie

DbGate is een cross-platform database manager. Van versie 7.0.0 tot vóór versie 7.1.5 bestaat er een opgeslagen XSS (Stored XSS) kwetsbaarheid in DbGate, omdat door een aanvaller gecontroleerde SVG icoonreeksen worden weergegeven als ruwe HTML zonder ontsmetting. In de web UI maakt dit scriptuitvoering mogelijk in de browser van een andere gebruiker; in de Electron desktop app kan dit escaleren tot lokale code-uitvoering, omdat Electron is geconfigureerd met nodeIntegration: true en contextIsolation: false. Dit probleem is verholpen in versie 7.1.5.