Dado que SVG está construido en gran medida, si no completamente en XML, ¿puede uno de los ataques que se pueden llevar a cabo a través de XML, como la inyección XXE, desde un archivo SVG?
Las vulnerabilidades de XXE tienen que ver con el analizador. Si el analizador que procesa el archivo SVG toma entidades externas sin verificación, entonces es vulnerable.
Para ver un ejemplo, consulte esta vulnerabilidad en una biblioteca de Apache .