PT-2026-39617 · Docling · Docling
Publicado
2026-05-11
·
Atualizado
2026-05-11
·
CVE-2026-31247
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Docling versões anteriores a 2.61.1
Descrição
O backend JATS XML está suscetível à Expansão de Entidade XML (XXE), um tipo de ataque onde um analisador XML é enganado para processar entidades que se expandem exponencialmente. Isso ocorre porque o backend utiliza a função
etree.parse() para processar arquivos XML sem desativar a resolução de entidades. Um invasor remoto pode fornecer um arquivo XML especialmente elaborado contendo um payload de expansão de entidade aninhada, comumente conhecido como XML Bomb, o que causa consumo excessivo de recursos e leva a uma condição de negação de serviço (DoS).Recomendações
Atualize para uma versão posterior a 2.61.0.
Como medida paliativa temporária, restrinja o processamento de arquivos XML não confiáveis pelo backend JATS XML até que a atualização seja aplicada.
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Docling