SVGファイル内からXXE(XML外部エンティティ)攻撃を実行できますか?
SVGは完全にXMLでなくても大きく構築されているため、XXEインジェクションなどのXMLを介して実行できる攻撃の1つをSVGファイルから実行できますか?
XXEの脆弱性はすべてパーサーに関係しています。 SVGファイルを処理するパーサーが検証なしで外部エンティティを取得する場合、脆弱性が存在します。
例については、 このApacheライブラリの脆弱性 を参照してください。
SVGは完全にXMLでなくても大きく構築されているため、XXEインジェクションなどのXMLを介して実行できる攻撃の1つをSVGファイルから実行できますか?
XXEの脆弱性はすべてパーサーに関係しています。 SVGファイルを処理するパーサーが検証なしで外部エンティティを取得する場合、脆弱性が存在します。
例については、 このApacheライブラリの脆弱性 を参照してください。