事件经过
2026-06-24 为 Docling 发布了三个单独的漏洞。CVE-2026-44016 (CVSS 8.2):可选的 Playwright HTML 渲染器在没有 SSRF 保护的情况下获取攻击者控制的 URL。CVE-2026-44017 (CVSS 7.5):EasyOCR 模型下载在没有路径验证的情况下提取 ZIP 存档,启用路径遍历写入。CVE-2026-44020 (CVSS 7.5):美国专利局专利 XML 解析器在没有 XXE 保护的情况下使用 xml.sax.parseString(),允许文件读取和恶意 XML 的 SSRF。
影响分析
Docling 是 IBM 用于生成 AI 和 RAG 管道的旗舰文档处理库,在整个 AI 生态系统中具有集成。摄入到 RAG 系统的文档本质上是不可信的;这些漏洞让恶意文档逃离解析沙箱、读取服务器文件、到达内部网络或覆盖模型文件 — 将 RAG 摄入管道转变为攻击向量。
攻击途径
(CVE-2026-44016) 恶意 HTML 文档在启用 HTML 后端时通过基于 Playwright 的渲染器触发 SSRF;(CVE-2026-44017) 被入侵的 EasyOCR 模型 ZIP 存档提取文件到目标目录之外 (Zip Slip);(CVE-2026-44020) 精心构造的美国专利局专利 XML 文档利用 XXE 读取本地文件或执行 SSRF
受影响系统
Docling:CVE-2026-44016 影响 2.82.0–2.90.x;CVE-2026-44017 影响 < 2.91.0;CVE-2026-44020 影响 2.13.0–2.73.x
缓解措施
升级至 Docling 2.91.0 以修复所有三个 CVE。发布版本:https://github.com/docling-project/docling/releases/tag/v2.91.0 ; XXE 公告:https://github.com/docling-project/docling/security/advisories/GHSA-m88r-rg27-5xfg