CVE-2026-44520 in docling-graphinformación

Resumen

por VulDB • 2026-05-14

Docling-Graph convierte los documentos en objetos Pydantic validados y, a continuación, construye un grafo de conocimiento dirigido con relaciones semánticas explícitas. Antes de la versión 1.5.1, la clase URLInputHandler en docling_graph/core/input/handlers.py realiza solicitudes HTTP a direcciones URL proporcionadas por el usuario sin validar si el destino resuelve a una dirección IP privada, de bucle invertido (loopback) o link-local. El URLValidator solo verifica la existencia de un esquema válido y un netloc no vacío, sin realizar ninguna validación a nivel de IP. Además, se llamaba a requests.head() con allow_redirects=True, lo que permitía a un atacante redirigir las solicitudes a puntos de conexión internos mediante una URL intermediaria. Un atacante que pueda controlar el argumento de línea de comandos --source o el parámetro de la API PipelineConfig.source puede provocar una vulnerabilidad de Server-Side Request Forgery (SSRF). Esta vulnerabilidad se corrige en la versión 1.5.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-06

Divulgación

2026-05-14

Moderación

aceptado

Artículo

VDB-363950

CPE

listo

EPSS

0.00029

KEV

no

Actividades

muy bajo

Sector

Industry, Agriculture, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44520
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44520
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44520/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!