Vulnerabilidad en Docling Core (CVE-2026-24009)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
22/01/2026
Última modificación:
26/01/2026
Descripción
Docling Core (o docling-core) es una librería que define tipos de datos centrales y transformaciones en la aplicación de procesamiento de documentos Docling. Una vulnerabilidad de ejecución remota de código (RCE) relacionada con PyYAML, concretamente CVE-2020-14343, se expone en docling-core a partir de la versión 2.21.0 y anterior a la versión 2.48.4, específicamente solo si la aplicación utiliza pyyaml anterior a la versión 5.4 e invoca 'docling_core.types.doc.DoclingDocument.load_from_yaml()' pasándole datos YAML no confiables. La vulnerabilidad ha sido parcheada en docling-core versión 2.48.4. La solución mitiga el problema al cambiar la deserialización de 'PyYAML' de 'yaml.FullLoader' a 'yaml.SafeLoader', asegurando que los datos no confiables no puedan desencadenar la ejecución de código. Los usuarios que no puedan actualizar docling-core inmediatamente pueden, alternativamente, asegurarse de que la versión instalada de PyYAML sea 5.4 o superior.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/advisories/GHSA-8q59-q68h-6hv4
- https://github.com/docling-project/docling-core/commit/3e8d628eeeae50f0f8f239c8c7fea773d065d80c
- https://github.com/docling-project/docling-core/issues/482
- https://github.com/docling-project/docling-core/releases/tag/v2.48.4
- https://github.com/docling-project/docling-core/security/advisories/GHSA-vqxf-v2gg-x3hc