Katalog CVE

CVE-2026-44022

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w Doclingu od wersji 2.73.0 do 2.91.0 pozwala atakującym na odczyt dowolnych plików z systemu plików poprzez spreparowane dokumenty LaTeX. Brak walidacji ścieżek w komendach \includegraphics, \input i \include umożliwia sekwencje typu path traversal, co może prowadzić do wycieku poufnych danych.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych plików, takich jak konfiguracje, dane uwierzytelniające lub inne poufne informacje, które mogą zostać włączone do wyjściowego dokumentu.

Rekomendacja

Należy niezwłocznie zaktualizować Docling do wersji 2.91.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Docling simplifies document processing by parsing diverse formats and providing integrations with the generative AI ecosystem. From 2.73.0 until 2.91.0, he LaTeX backend's handling of \includegraphics, \input, and \include commands lacked path containment validation. Attackers could craft malicious LaTeX documents with path traversal sequences to read arbitrary files from the file system accessible to the process, include sensitive files in the converted document output, or potentially access configuration files, credentials, or other sensitive data This vulnerability is fixed in 2.91.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS