Plataforma
nodejs
Componente
dbgate-web
Corrigido em
7.0.1
7.1.5
CVE-2026-34725 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no DbGate. A falha permite que um atacante execute scripts maliciosos no navegador de outro usuário, explorando a renderização insegura de strings SVG. Nas versões afetadas da aplicação desktop Electron, isso pode levar à execução de código local. As versões afetadas são 7.0.0 até menores que 7.1.5. A vulnerabilidade foi corrigida na versão 7.1.5.
A CVE-2026-34725 afeta o DbGate, apresentando uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Essa falha ocorre devido à forma como o DbGate lida com strings de ícones SVG. O software renderiza essas strings diretamente como HTML sem a devida sanitização, permitindo que um atacante injete código malicioso. Na interface web, isso pode resultar na execução de scripts no navegador de outro usuário. Mais criticamente, no aplicativo de desktop Electron, devido à configuração de nodeIntegration: true e contextIsolation: false, essa vulnerabilidade pode ser explorada para alcançar a execução de código local, comprometendo a segurança do sistema.
Um atacante poderia explorar essa vulnerabilidade injetando uma string SVG maliciosa em um contexto onde o DbGate a armazena e, subsequentemente, a renderiza. Isso poderia ser alcançado através do upload de um arquivo SVG comprometido, modificando a configuração do aplicativo ou manipulando dados armazenados. Na interface web, o atacante poderia aproveitar a funcionalidade de compartilhamento ou colaboração para enviar um link malicioso para outro usuário. No aplicativo Electron, a execução de código local permitiria ao atacante acessar arquivos sensíveis, instalar malware ou obter o controle do sistema.
Organizations using DbGate for database management, particularly those deploying the Electron desktop application, are at risk. Shared hosting environments where multiple users share a single DbGate instance are especially vulnerable, as an attacker could potentially compromise other users' accounts. Users relying on legacy DbGate configurations with less stringent security controls are also at higher risk.
• nodejs / desktop: Monitor DbGate Electron app processes for unusual network activity or unexpected file modifications. Use process monitoring tools to detect any suspicious child processes spawned by DbGate.
Get-Process dbgate | Select-Object ProcessName, Id, CPU, WorkingSet• generic web: Examine DbGate web server access logs for requests containing SVG content with potentially malicious attributes. Look for patterns like <svg onload= or <svg onmouseover=.
grep '<svg onload=' /var/log/apache2/access.log• generic web: Check response headers for unexpected content-type values when rendering SVG icons. A properly sanitized SVG should be served with a image/svg+xml content type.
curl -I https://your-dbgate-instance/icons/malicious.svg | grep Content-Typedisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A principal mitigação para a CVE-2026-34725 é atualizar para a versão 7.1.5 do DbGate ou superior. Esta versão inclui uma correção que sanitiza as strings de ícones SVG antes de renderizá-las, prevenindo a injeção de código malicioso. Além disso, revise as políticas de segurança do aplicativo Electron, particularmente a configuração de nodeIntegration e contextIsolation. Desabilitar nodeIntegration e habilitar contextIsolation pode reduzir significativamente o risco de execução de código local caso a vulnerabilidade seja explorada. A implementação de práticas de segurança em profundidade e o monitoramento da atividade do aplicativo também são recomendados.
Actualice DbGate a la versión 7.1.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la configuración de applicationIcon, que podría permitir la ejecución remota de código en la aplicación Electron. La actualización mitiga el riesgo de que un atacante explote esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um tipo de vulnerabilidade que permite a um atacante injetar código malicioso em um site, que então é executado nos navegadores de outros usuários.
Devido à configuração de nodeIntegration e contextIsolation, o código malicioso pode acessar os recursos do sistema operacional, permitindo a execução de código local.
Implemente medidas de segurança adicionais, como restringir o acesso ao aplicativo e monitorar a atividade da rede.
Ferramentas de verificação de segurança podem detectar vulnerabilidades XSS, mas é importante realizar testes de penetração manuais para confirmar a existência e o impacto da vulnerabilidade.
nodeIntegration permite que o código JavaScript na página web acesse as APIs do Node.js. contextIsolation isola o código JavaScript da página web do código Node.js, melhorando a segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.