Katalog CVE

CVE-2026-44018

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Docling w wersjach od 2.45.0 do 2.91.0 dotyczy braku kontroli bezpieczeństwa podczas parsowania XML w backendzie METS-GBS oraz wykrywania formatu dokumentów. Atakujący może stworzyć złośliwe archiwa METS-GBS, które po przetworzeniu mogą prowadzić do odczytu wrażliwych plików, wyczerpania zasobów systemowych lub awarii aplikacji.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych, przerwanie działania usługi (DoS) oraz potencjalne uszkodzenie systemu poprzez wyczerpanie zasobów.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Docling do wersji 2.91.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Docling simplifies document processing by parsing diverse formats and providing integrations with the generative AI ecosystem. From 2.45.0 until 2.91.0, the METS-GBS backend's XML parsing and the input document format detection lacked security controls. An attacker could craft malicious METS-GBS archives that, when processed, could read sensitive files, exhaust system resources, or cause application crashes. This vulnerability is fixed in 2.91.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS