dbgate-web: XSS armazenado em applicationIcon leva a potencial RCE no Electron devido à configuração de renderizador insegura

DbGate é um gerenciador de banco de dados multiplataforma. Da versão 7.0.0 até a versão anterior à 7.1.5, existe uma vulnerabilidade XSS (Cross-Site Scripting) armazenada no DbGate porque strings de ícones SVG controladas pelo atacante são renderizadas como HTML bruto sem sanitização. Na interface do usuário web, isso permite a execução de script no navegador de outro usuário; no aplicativo de desktop Electron, isso pode escalar para execução de código local porque o Electron está configurado com nodeIntegration: true e contextIsolation: false. Este problema foi corrigido na versão 7.1.5.