文書をAIに読み込ませる人気ツール『Docling』に脆弱性が相次ぐ、細工した文書やURLで内部情報を抜かれる恐れ CVE-2026-44023ほか計8件、修正版へ更新を
PDFやWordをAIに読み込ませる人気ツール『Docling』に、細工した文書やURLで内部ファイルや情報を抜き取られる恐れのある脆弱性がCVE-2026-44023(危険度8.6)を筆頭に計8件見つかりました。SSRFやXXEなどが並び、信頼できないデータを処理する構成が対象です。docling-coreは2.74.1、本体は2.94.0以降へ更新すれば修正されます。実際の攻撃は未確認です。
目次
PDFやWordをAIに読み込ませる人気ツール『Docling』に、細工した文書やURLで内部ファイルや情報を抜き取られる恐れのある脆弱性がCVE-2026-44023(危険度8.6)を筆頭に計8件見つかりました。SSRFやXXEなどが並び、信頼できないデータを処理する構成が対象です。docling-coreは2.74.1、本体は2.94.0以降へ更新すれば修正されます。実際の攻撃は未確認です。
PDFやWord、PowerPointなどの文書を生成AIに読み込ませるための人気ツール、『Docling(ドックリング)』に、細工した文書やURLを使って内部情報を抜き取られる恐れのある脆弱性が相次いで見つかりました。中心となるのは危険度CVSS 8.6のCVE-2026-44023で、関連する欠陥とあわせて計8件がまとめて公開されています。危険度はいずれもCVSS(10段階)で5.5〜8.6の範囲です。
Doclingは、IBMの研究部門が公開したオープンソースで、さまざまな形式の文書を解析し、AIが扱いやすい形に整える「下ごしらえ」の役割を担います。生成AIに自社の資料を答えさせる仕組み(RAG)などで広く使われており、GitHubでの人気度を示すスター数は4万2千超、Python向けの配布での月間ダウンロードは約150万回にのぼります。AI開発の現場では定番の部品の一つです。
今回の欠陥は、大きく言えば「Doclingに読み込ませる文書やURLに悪意を仕込まれると、本来触れられないはずのサーバー内のファイルや、外部に出してはいけない情報を読み取られる」というものです。いずれも修正版がすでに公開されているため、対処は更新で済みます。何が起きるのか、どの脆弱性がどれくらい危険か、どのバージョンへ上げればよいかを順に説明します。AIに外部データを読ませるツールが踏み台にされる問題は、AIにコードを渡すツールRepomixが内部情報の流出に悪用され得た件など、近年くり返し起きています。
何が起きるのか
ひとことで言うと、Doclingが文書や画像、URLを読み込むときに、その「取り寄せ先」や「ファイル名」を十分に確かめていませんでした。攻撃者はこの甘さを突き、Doclingを動かしているサーバーに、本来アクセスできない場所のファイルを読ませたり、内部ネットワーク宛ての通信を代わりに出させたりできます。結果として、設定ファイルや認証情報、クラウドの内部情報などが外部へ漏れる恐れがあります。今回公開された主な脆弱性は次のとおりです。
| CVE番号 | 対象 | 脆弱性の種類 | 危険度 | 修正版 |
|---|---|---|---|---|
| CVE-2026-44023 | docling-core | 情報の取り寄せ悪用+ ファイル読み出し | 8.6(高) | 2.74.1 |
| CVE-2026-44016 | docling | HTML描画での コード実行・情報取り寄せ | 8.2(高) | 2.91.0 |
| CVE-2026-44019 | docling-core | 画像参照URIの 検証不備 | 8.1(高) | 2.74.1 |
| CVE-2026-44020 | docling | 特許XML読み込みの 外部実体注入(XXE) | 7.5(高)※ | 2.91.0 |
| CVE-2026-44017 | docling | OCRモデル取得時の 不正な書き込み | 7.5(高) | 2.91.0 |
| CVE-2026-47214 | docling | HTML処理の 安全でないURI・パス処理 | 7.1(高) | 2.94.0 |
| CVE-2026-44018 | docling | XML読み込みの外部実体 注入+解凍爆弾 | 5.5(中) | 2.91.0 |
| CVE-2026-44022 | docling | LaTeX読み込みの ファイル読み出し | 5.5(中) | 2.91.0 |
「docling-core」はDoclingの中核となる部品、「docling」は文書を読み込む本体で、どちらもPythonの部品として配布されています。CVE-2026-44020の危険度は、評価する組織によって7.5から9.4まで開きがある点に注意してください。いずれも共通するのは、Doclingに「信頼できない文書やURL」を処理させる使い方をしている場合に危険が生じるという点です。
誰が、何のために狙うのか
これらの穴を突けるのは、利用者がアップロードした文書や、外部から指定したURLを、そのままDoclingに読み込ませる仕組み(RAGや文書変換のサービスなど)に、細工したデータを送り込める攻撃者です。ログインや特別な権限は必要なく、攻撃者は普通の利用者のふりをして、罠を仕込んだファイルやリンクを処理させるだけで足ります。
その攻撃者が行うのは、Doclingが動くサーバーに、内部ファイルの読み出しや、内部ネットワーク宛ての通信を代わりにさせ、外に出てはいけない情報を引き出すことです。具体的には、サーバーの設定ファイルや鍵、クラウド環境の内部情報などが標的になります。文書を読ませただけのつもりが、その裏でサーバーの内側を覗かれる、という形です。
被害はサービスの運営者だけの問題ではありません。抜き取られた鍵や内部情報は、そのサービスを使うエンドユーザーのデータや、つながった他のシステムへの侵入にも使われかねません。AIに外部のデータを読ませる部品は、こうした「読ませる」動作そのものが攻撃の入口になりやすく、AIの学習データ基盤Feastで認証なしの欠陥が相次いだ件のように、AI開発まわりの土台では同種の問題がくり返し報告されています。
主な脆弱性の内訳(危険度の高い順)
CVE-2026-44023: 取り寄せ先とファイル名の検証不備(docling-core・8.6)
今回で最も危険度が高い欠陥です。docling-coreが外部URLからデータを取り寄せる際、相手のサーバーが返す「ファイル名」の情報を無検証で信頼していました。攻撃者が用意したサーバーが../../../../etc/passwdのようなパスを返すと、保存先の想定を飛び越えてサーバー内のファイルを読み書き・参照させられ、内部情報の窃取につながります。公式アドバイザリでは2.74.1で修正済みです。
CVE-2026-44016: HTML描画機能でのコード実行(docling・8.2)
HTML文書を画像として描画する機能(Playwrightという部品を使う)を有効にしている場合、細工したHTMLを通じてサーバー上でコードを実行されたり、内部宛ての通信をさせられたりする恐れがあります。この描画機能は初期設定では無効のため、明示的に有効化している構成が対象です。docling本体の2.91.0で修正されています。
CVE-2026-44019: 画像参照URIの検証不備(docling-core・8.1)
文書内の画像参照で、file:///やdata:といった特殊な指定を十分に検証していなかった欠陥です。これを悪用すると、ローカルファイルの読み出しや過大な処理につながります。こちらもdocling-coreの2.74.1で修正済みです。
CVE-2026-44020: 特許XML読み込みの外部実体注入(docling・7.5〜9.4)
特許文書(USPTO形式)のXMLを読み込む処理に、外部実体注入(XXE)と呼ばれる古典的な欠陥がありました。細工したXMLでサーバー内のファイル読み出しなどが可能です。危険度の評価は組織によって7.5から9.4まで幅があります。docling本体の2.91.0で修正されています。
CVE-2026-47214: HTML処理の安全でないURI・パス処理(docling・7.1)
HTMLを読み込むバックエンドで、file://を含むURIやパスの扱いが安全でなく、ローカルファイル参照や内部宛て通信、リダイレクトの悪用につながる欠陥です。この件は最終的にdocling本体の2.94.0で修正されているため、更新目標は2.94.0以降になります。
CVE-2026-44017: OCRモデル取得時の不正な書き込み(docling・7.5)
文字認識(OCR)用のモデルをダウンロードして展開する際、圧縮ファイル内の細工したパスによって意図しない場所へファイルを書き込ませる「Zipスリップ」と呼ばれる欠陥です。docling本体の2.91.0で修正されています。
このほか、XML読み込みの外部実体注入と過大な解凍処理を組み合わせたCVE-2026-44018(中・2.91.0で修正)、LaTeX文書の読み込みで別ファイルを読み出せるCVE-2026-44022(中・2.91.0で修正)があります。また時期は異なりますが、docling-coreには設定ファイルの読み込みを悪用してコードを実行できるCVE-2026-24009(2.48.4で修正)も報告されており、あわせて最新版へ上げておくのが安全です。
影響を受けるバージョンと修正版
対処は、使っている部品を下の修正版以降へ更新するだけです。Doclingを直接使っている場合も、他のツールの内部で使っている場合も、それぞれの部品のバージョンを確認してください。修正版は正式に公開されています。
| 部品(パッケージ) | 影響を受ける版 | 更新目標 |
|---|---|---|
| docling-core | 2.74.1 未満 | 2.74.1 以降 |
| docling(本体) | 2.91.0 未満 (CVE-2026-47214は2.94.0未満) | 2.94.0 以降 (最新版が確実) |
docling本体は2.91.0で大半が修正されますが、CVE-2026-47214だけは2.94.0での対応となるため、まとめて安全にするなら2.94.0以降(できれば最新版)へ上げるのが確実です。現時点で、これらが米政府CISAの「実際に攻撃されている脆弱性」の一覧(KEV)に登録されている事実はなく、実際の攻撃も確認されていません。とはいえ利用が広いだけに、早めの更新が安全です。
いま何をすればいいのか
まず、自分のプロジェクトでdoclingやdocling-coreを使っているかを確認してください。RAGや文書検索の仕組みを作っている場合、気づかないうちに他のライブラリの内部で読み込まれていることもあります。使っていれば、上の早見表の修正版以降へ更新するのが基本の対処です。Pythonの依存管理の仕組みで、間接的に取り込んでいる分も含めて上げておくと安全です。
すぐに更新できない場合は、Doclingに「信頼できないURL」や「素性の分からない文書」を処理させない運用に切り替えるのが当面の守りになります。とくに外部からのURL取得や、HTMLの描画機能を明示的に有効化している構成は、悪用の前提を満たしやすいため注意してください。あわせて、自分たちが使っているオープンソースの部品と、それがどんなデータを外部から取り込むのかを把握しておくと、こうした欠陥への備えになります。公開している部品の依存関係を点検するOSSの依存チェックの習慣も役立ちます。AI開発ツールでは、業務自動化ツールPraisonAIで危険度10.0の乗っ取りが報告された件のように、深刻な脆弱性が続いており、部品の更新を習慣化しておくことが一番の近道です。
まとめ
文書をAIに読み込ませる人気ツールDoclingで、細工した文書やURLを通じて内部ファイルや情報を抜き取られる恐れのある脆弱性が、CVE-2026-44023(危険度8.6)を筆頭に計8件まとめて公開されました。いずれも、信頼できないデータをDoclingに処理させる構成で危険が生じ、成立すればサーバー内部の情報漏えいにつながります。
対処はシンプルで、docling-coreは2.74.1以降、docling本体は2.94.0以降へ更新するだけです。実際の攻撃はまだ確認されておらず、KEVにも登録されていませんが、利用が広く、悪用の手口も分かりやすいだけに、先送りせず更新するのが賢明です。間接的に取り込んでいる場合も見落とさないよう、依存関係ごと確認してください。新しい情報や攻撃が確認され次第、この記事に追記します。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go