docling-core: vulnerabilidade de acesso a arquivos locais e consumo excessivo de memória
Nas versões >=2.5.0, <2.74.1, o docling-core permitia referências a imagens locais (file://) e conteúdo inline data: sem limite de tamanho decodificado, possibi
O que mudou
Nas versões >=2.5.0, <2.74.1, o docling-core permitia referências a imagens locais (file://) e conteúdo inline data: sem limite de tamanho decodificado, possibilitando acesso a arquivos locais ou uso excessivo de memória. A correção na versão 2.74.1 bloqueia URIs de arquivos locais por padrão e adiciona um limite de tamanho para dados de imagem inline decodificados.
Quem isso afeta
Aplicações que usam docling-core >=2.5.0, <2.74.1 e aceitam referências a imagens não confiáveis.
O que fazer hoje
Atualize para docling-core >=2.74.1 imediatamente. Se não for possível, rejeite referências a imagens file: e data: de entradas não confiáveis, permita apenas fontes aprovadas e aplique limites de tamanho/memória.