何が起きたか
2026-06-24 に Docling 向けに 3 つの個別脆弱性が公開されました。CVE-2026-44016 (CVSS 8.2): オプションの Playwright HTML レンダラーが、SSRF 保護なしにサーバー側で攻撃者制御 URL をフェッチします。CVE-2026-44017 (CVSS 7.5): EasyOCR モデルダウンロードが ZIP アーカイブをパス検証なしで抽出し、パストラバーサル書き込みが可能になります。CVE-2026-44020 (CVSS 7.5): USPTO 特許 XML パーサーが XXE 保護なしで xml.sax.parseString() を使用し、ファイル読み込みと悪意のある XML からの SSRF を許可しています。
なぜ重要か
Docling は IBM の生成 AI および RAG パイプライン向けのフラッグシップドキュメント処理ライブラリで、AI エコシステム全体での統合があります。RAG システムに取り込まれたドキュメントは本質的に信頼できません。これらのバグにより、悪意のあるドキュメントはパーサーサンドボックスを脱出し、サーバーファイルを読み取り、内部ネットワークに到達するか、モデルファイルを上書きできます。RAG 取り込みパイプラインを攻撃ベクトルに変えます。
攻撃経路
(CVE-2026-44016) 悪意のある HTML ドキュメントが HTML バックエンドが有効な場合に Playwright ベースのレンダラーを介して SSRF をトリガーする、(CVE-2026-44017) 侵害された EasyOCR モデル ZIP アーカイブがターゲットディレクトリの外にファイルを抽出する (Zip Slip)、(CVE-2026-44020) 細工された USPTO 特許 XML ドキュメントが XXE を悪用してローカルファイルを読み込むか、SSRF を実行する
影響を受けるシステム
Docling: CVE-2026-44016 は 2.82.0–2.90.x に影響、CVE-2026-44017 は < 2.91.0 に影響、CVE-2026-44020 は 2.13.0–2.73.x に影響
緩和策
3 つの CVE すべてについて Docling 2.91.0 にアップグレードしてください。リリース: https://github.com/docling-project/docling/releases/tag/v2.91.0 、XXE アドバイザリ: https://github.com/docling-project/docling/security/advisories/GHSA-m88r-rg27-5xfg