製品・ソフトウェアに関する情報

JVN脆弱性詳細

DoclingにおけるDTD の再帰的なエンティティ参照の不適切な制限に関する脆弱性

Title	DoclingにおけるDTD の再帰的なエンティティ参照の不適切な制限に関する脆弱性
Summary	Doclingは多様なフォーマットを解析し、生成AIエコシステムとの統合を提供することでドキュメント処理を簡素化します。バージョン2.13.0から2.74.0までの間、USPTO特許XMLパーサーはXML外部エンティティ（XXE）攻撃に対する保護がないまま標準のxml.sax.parseString()を使用していました。攻撃者は任意のサーバーのファイルシステムのファイルを読み取ったり、サーバーサイドリクエスト偽造（SSRF）攻撃を実行したり、エンティティ展開によるサービス拒否（Billion Laughs攻撃）を引き起こす悪意のあるUSPTO特許XMLファイルを作成する可能性があります。この脆弱性は3つのUSPTO特許フォーマットパーサー（ICE（v4.x）、Grant v2.5、およびApplication v1.x）に影響を与えていました。なお、この脆弱性はバージョン2.74.0で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 24, 2026, midnight
Registration Date	June 29, 2026, 11:25 a.m.
Last Update	June 29, 2026, 11:25 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

Docling

Docling 2.13.0 以上 2.74.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44020	https://www.cve.org/CVERecord?id=CVE-2026-44020
National Vulnerability Database (NVD)
2	CVE-2026-44020	https://nvd.nist.gov/vuln/detail/CVE-2026-44020

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-776	http://cwe.mitre.org/data/definitions/776.html

ベンダー情報

No	Name	URL
GitHub
1	Unsafe XML Entity Expansion in USPTO Patent Backend Advisory docling-project/docling GitHub	https://github.com/docling-project/docling/security/advisories/GHSA-m88r-rg27-5xfg

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:25 a.m.

NVD Vulnerability Information

CVE-2026-44020

Summary	Docling simplifies document processing by parsing diverse formats and providing integrations with the generative AI ecosystem. From 2.13.0 until 2.74.0, the USPTO patent XML parser used the standard xml.sax.parseString() without protection against XML External Entity (XXE) attacks. An attacker could craft malicious USPTO patent XML files with external entity references that could read arbitrary files from the server filesystem, perform Server-Side Request Forgery (SSRF) attacks, or cause denial of service through entity expansion (Billion Laughs attack). The vulnerability affects three USPTO patent format parsers: ICE (v4.x), Grant v2.5, and Application v1.x. This vulnerability is fixed in 2.74.0.
Publication Date	June 25, 2026, 3:17 a.m.
Registration Date	June 27, 2026, 4:22 a.m.
Last Update	June 27, 2026, 4:58 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:docling:docling::::::python::*		2.13.0			2.74.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/docling-project/docling/security/advisories/GHSA-m88r-rg27-5xfg	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-776	DTD の再帰的なエンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/776.html