Dato che SVG è costruito pesantemente se non interamente su XML, è possibile eseguire uno degli attacchi che possono essere eseguiti tramite XML come XXE injection da un file SVG?
Le vulnerabilità XXE hanno a che fare con il parser. Se il parser che elabora il file SVG acquisisce entità esterne senza verifica, allora è vulnerabile.
Per un esempio, vedi questa vulnerabilità in una libreria Apache .