¿Se puede realizar un ataque XXE (entidad externa XML) desde un archivo SVG?

3

Dado que SVG está construido en gran medida, si no completamente en XML, ¿puede uno de los ataques que se pueden llevar a cabo a través de XML, como la inyección XXE, desde un archivo SVG?

    
pregunta Amirius 03.03.2016 - 02:39
fuente

1 respuesta

0

Las vulnerabilidades de XXE tienen que ver con el analizador. Si el analizador que procesa el archivo SVG toma entidades externas sin verificación, entonces es vulnerable.

Para ver un ejemplo, consulte esta vulnerabilidad en una biblioteca de Apache .

    
respondido por el SilverlightFox 04.03.2016 - 11:39
fuente

Lea otras preguntas en las etiquetas