O SVG pode conter JavaScript . JavaScript pode ser usado para seqüestrar cookies ou fazer outras ações questionáveis . Pode até ser "escondido" em namespaces:
<html xmlns:ø="http://www.w3.org/1999/xhtml">
<ø:script src="//0x.lv/" />
</html>
É muito difícil filtrar isso durante o upload, por isso não é permitido por padrão.