CVE-2026-44520 in docling-graphinfo

Zusammenfassung

von VulDB • 14.05.2026

Docling-Graph wandelt Dokumente in validierte Pydantic-Objekte um und erstellt anschließend einen gerichteten Wissensgraphen mit expliziten semantischen Beziehungen. Vor Version 1.5.1 sendet die Klasse URLInputHandler in docling_graph/core/input/handlers.py HTTP-Anfragen an vom Benutzer angegebene URLs, ohne zu überprüfen, ob das Ziel auf eine private, Loopback- oder Link-Local-IP-Adresse auflöst. Der URLValidator überprüft lediglich ein gültiges Schema und einen nicht-leeren netloc, führt jedoch keine Validierung auf IP-Ebene durch. Darüber hinaus wurde requests.head() mit allow_redirects=True aufgerufen, was es einem Angreifer ermöglicht, Anfragen über eine Zwischen-URL auf interne Endpunkte umzuleiten. Ein Angreifer, der das CLI-Argument --source oder den API-Parameter PipelineConfig.source kontrollieren kann, kann Server-Side Request Forgery (SSRF) auslösen. Diese Schwachstelle wurde in Version 1.5.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

14.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363950

CPE

bereit

EPSS

0.00029

KEV

nein

Aktivitäten

very low

Sektor

Government, Hospital, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44520
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44520
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44520/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!