PT-2026-39617 · Docling · Docling

Publicado

2026-05-11

·

Atualizado

2026-05-11

·

CVE-2026-31247

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Docling versões anteriores a 2.61.1
Descrição O backend JATS XML está suscetível à Expansão de Entidade XML (XXE), um tipo de ataque onde um analisador XML é enganado para processar entidades que se expandem exponencialmente. Isso ocorre porque o backend utiliza a função etree.parse() para processar arquivos XML sem desativar a resolução de entidades. Um invasor remoto pode fornecer um arquivo XML especialmente elaborado contendo um payload de expansão de entidade aninhada, comumente conhecido como XML Bomb, o que causa consumo excessivo de recursos e leva a uma condição de negação de serviço (DoS).
Recomendações Atualize para uma versão posterior a 2.61.0. Como medida paliativa temporária, restrinja o processamento de arquivos XML não confiáveis pelo backend JATS XML até que a atualização seja aplicada.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-31247
GHSA-CR42-RG2M-MQ4Q

Produtos afetados

Docling