Vulnerabilidad en php-svg-lib (CVE-2024-25117)

php-svg-lib es una librería escalable de análisis/renderización de archivos de gráficos vectoriales (SVG). Antes de la versión 0.5.2, php-svg-lib no valida que font-family no contenga una URL PHAR, lo que podría llevar a RCE en PHP < 8.0, y no valida si se permiten referencias externas. Esto podría llevar a eludir las restricciones o RCE en los proyectos que lo utilizan, si no revalidan estrictamente el nombre de fuente pasado por php-svg-lib. El `Style::fromAttributes(`), o el `Style::parseCssStyle()` deben verificar el contenido de la `font-family` y evitar que use una URL PHAR, para evitar pasar un `fontName` inválido y peligroso. valor para otras librerías. Se puede reutilizar la misma comprobación realizada en `Style::fromStyleSheets`. Las librerías que utilizan esta librería como dependencia pueden ser vulnerables a alguna elusión de restricciones, o incluso a la ejecución remota de código, si no verifican dos veces el valor de `fontName` que pasa por php-svg-lib. La versión 0.5.2 contiene una solución para este problema.