docling-graph has SSRF via Missing Internal IP Validation in URLInputHandler — CVE-2026-44520
GHSA · GitHub · CVE-2026-44520
ID
CVE-2026-44520
CVE-2026-44520
Date
Mis à jour
Activity
Source
GHSA
GHSA
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
5.7
5.7
Résumé
### Impact The `URLInputHandler` class in `docling_graph/core/input/handlers.py` makes HTTP requests to user-supplied URLs without validating whether the target resolves to a private, loopback, or link-local IP address. The `URLValidator` only checks for a valid scheme and non-empty `netloc`, performing no IP-level validation. Additionally, `requests.head()` was called with `allow_redirects=True`, allowing an…
Produit
pip: docling-graph
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.