El mito de los ficheros SVG inseguros en las subidas de ficheros

En el mundo de la seguridad informática, existen muchos mitos y conceptos erróneos que a menudo generan preocupación innecesaria. Uno de estos mitos se refiere a la supuesta inseguridad de los ficheros SVG (Scalable Vector Graphics) al ser subidos mediante aplicaciones web. Sin embargo, es importante examinar a fondo esta afirmación y comprender que aspectos de los ficheros SVG pueden dar paso a posibles vulnerabilidades.

Desmitificando la inseguridad de los SVG

A pesar de algunas afirmaciones alarmantes, los ficheros SVG en sí mismos no son inherentemente inseguros. En realidad, la seguridad de los ficheros SVG depende en gran medida de la forma en que son tratados y procesados por las aplicaciones que los reciben. Es decir, el problema radica en las malas prácticas de los programadores al no sanitizar adecuadamente el código contenido en los ficheros SVG.

La importancia de la sanitización

La sanitización del código es un paso fundamental en el procesamiento de cualquier tipo de archivo subido por los usuarios en una aplicación web. En el caso de los ficheros SVG, esto implica validar y filtrar el código SVG para eliminar cualquier contenido potencialmente malicioso, como scripts incrustados (JS) o referencias a recursos externos no confiables.

Cuando se realiza una sanitización adecuada, los ficheros SVG pueden ser procesados de forma segura y mostrados en la aplicación sin representar un riesgo para la seguridad.

Casos específicos y consideraciones

Es importante destacar que, si bien los ficheros SVG en general no presentan riesgos de seguridad, ha habido casos específicos en los que se ha descubierto algún tipo de vulnerabilidad relacionada con la manipulación de ficheros SVG en ciertas aplicaciones o bibliotecas. Por ejemplo, el caso de la aplicación CairoSVG.

Sin embargo, esas vulnerabilidades son específicas de implementaciones o configuraciones particulares y no deben generalizarse a todos los casos de uso de ficheros SVG.

• The Dangers of SVG Files: A Lesser-Known Vector for XSS Attacks
• Do you allow to load SVG files? You have XSS! Di no a los SVG si usas software de terceros. Si sabes programar bien, puedes.
• CVE-2023-1289 relativa al software de sistema, ImageMagick

Conclusiones

En resumen, el mito de los ficheros SVG inseguros en las subidas de ficheros es principalmente el resultado de malas prácticas de programación y falta de sanitización adecuada por parte de los desarrolladores. Si se siguen las mejores prácticas de seguridad y codificación segura (testing, testing, testing…), los ficheros SVG pueden ser procesados y mostrados de forma segura en aplicaciones web sin representar un riesgo para la seguridad.

Es fundamental educar a los programadores sobre la importancia de la sanitización y fomentar buenas prácticas de seguridad en el desarrollo de aplicaciones web.