CVE-2026-44018
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Docling w wersjach od 2.45.0 do 2.91.0 dotyczy braku kontroli bezpieczeństwa podczas parsowania XML w backendzie METS-GBS oraz wykrywania formatu dokumentów. Atakujący może stworzyć złośliwe archiwa METS-GBS, które po przetworzeniu mogą prowadzić do odczytu wrażliwych plików, wyczerpania zasobów systemowych lub awarii aplikacji.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych, przerwanie działania usługi (DoS) oraz potencjalne uszkodzenie systemu poprzez wyczerpanie zasobów.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Docling do wersji 2.91.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Docling simplifies document processing by parsing diverse formats and providing integrations with the generative AI ecosystem. From 2.45.0 until 2.91.0, the METS-GBS backend's XML parsing and the input document format detection lacked security controls. An attacker could craft malicious METS-GBS archives that, when processed, could read sensitive files, exhaust system resources, or cause application crashes. This vulnerability is fixed in 2.91.0.

