Docling GenAI 문서 프로세서 — HTML 백엔드의 안전하지 않은 URI/경로 처리

2.94.0 이전의 Docling은 HTML 백엔드에서 안전하지 않은 URI 및 경로 처리(CVE-2026-47214, CVSS 7.1)를 가지고 있습니다. METS-GBS 백엔드의 두 번째 문제(CVE-2026-44018, CVSS 5.5)는 악의적인 아카이브 파일을 통한 XXE 공격을 허용합니다. 두 문제 모두 최근 릴리스에서 패치되었으며 GenAI 파이프라인의 문서 수집 계층을 통한 공격 벡터입니다.

Docling은 GenAI 애플리케이션을 위한 주요 문서 처리 라이브러리로, RAG 파이프라인 및 LLM 컨텍스트를 위해 문서를 구문 분석합니다. Docling 기반 수집 파이프라인에 제출된 악의적인 문서는 이러한 결함을 악용하여 서버 파일을 읽거나 SSRF를 트리거하거나 XXE 공격을 수행할 수 있으므로 문서 수집 경로를 AI 인프라에 대한 원격 공격 벡터로 전환합니다.

Docling의 HTML 백엔드는 HTML 문서를 처리할 때 안전하지 않은 URI 및 경로 처리를 수행합니다. 문서 프로세서에 제공된 악의적으로 작성된 HTML 파일은 이를 악용하여 의도된 처리 범위 외의 파일이나 리소스에 액세스할 수 있으며, 잠재적으로 문서 수집 파이프라인에서 경로 순회 또는 SSRF를 활성화할 수 있습니다.

Docling < 2.94.0

Docling 2.94.0으로 업그레이드하세요. 참조: https://github.com/docling-project/docling/releases/tag/v2.94.0