Bonjour à tous, La CVE-2025-66516 décrit une vulnérabilité de type XXE (XML External Entity injection) dans Apache Tika. Elle est exploitable lorsque Tika traite des PDF contenant du XFA (XML Forms Architecture) spécialement forgé. Dès publication et analyse de la CVE, nous avons procédé à une localisation exhaustive des dépendances à Tika dans l’écosystème GoFAST : Exécutable CEO-Vision (binaire embarqué) Alfresco (Composant de transformation) Solr (Module d'extraction "SolrCell”) Ce post présente la rétrospective des analyses menées et des actions prises par notre comité sécurité dans le cadre du traitement de cette faille. Références : Fiche NVD Fiche RedHat Communication Apache Solr Communication Alfresco ️Exécutable Tika embarqué CEO-Vision Bien que l’exécutable embarqué n’étant pas directement exposé et étant utilisé après différentes couches de contrôles (chaîne applicative, sécurité, analyses antivirus, etc.), cet exécutable a fait l'objet d'un traitement immédiat dans notre chaîne de sécurité. En conséquence : Le composant Tika embarqué a été mis à jour immédiatement dans un patch spécial, progressivement déployé en production sur toutes les GoFAST Enterprise supportés et ne nécessitant pas d'interruption des services Le correctif a été intégré à la release de sécurité courante GoFAST 4.4.1 ainsi qu'aux prochaines versions ️Dépendances dans Alfresco Alfresco Content Services Community Distribution intègre dans certains cas des dépendances à Tika devant être mise à jour. Le composant core utilisé par GoFAST Alfresco Repository n'est néanmoins pas impacté par cette faille de sécurité, ce composant n'effectuant plus lui même les extractions depuis la version 7.0. Le composant impacté côté Alfresco est Alfresco Transform Core, composant utilisé via T-Engine que nous n'utilisons et n'installons plus depuis GoFAST v4. En effet, les transformations de documents sont maintenant gérés notamment pour des raisons de performances directement via nos applicatifs embarqués (OnlyOffice, LibreOffice, Exécutable Tika embarqué CEO-Vision, ...) En essayant d'activer le transformer dans Alfresco nous constatons que le composant n'est pas chargé car non présent sur nos déploiements : [image: 1767091400468-f03d6ceb-a5e4-4ca0-811a-0aea0ea25fd4-image.png] Il a donc été confirmé que l'intégration d'Alfresco CE dans GoFAST n'est pas vulnérable à la CVE-2025-66516 ️Dépendances dans Apache Solr Apache Solr intègre dans certains cas des dépendances à Tika devant être mise à jour. La vulnérabilité concerne le module d'extraction (SolrCell) qui n'est pas utilisé dans le cadre de notre intégration d'Apache Solr dans GoFAST. En effet, l'extraction des contenus et métadonnées est dans GoFAST et depuis toujours entièrement gérée par notre stack applicative (Alfresco, Exécutable Tika embarqué, ..). Dans un cadre préventif nous avons tout de même tenté de déployer la mitigation proposée par l'éditeur pour les environnements impactés, mais il s'avère que les librairies utilisés pour la gestion de l'extraction ne sont même pas chargés. [image: 1767091792560-f317a989-a56f-4237-a559-c768d4179924-image.png] Il a donc été confirmé que l'intégration d'Apache Solr dans GoFAST n'est pas vulnérable à la CVE-2025-66516 ️Roadmap, Suivi et Veille Le Roadmap suivant à été défini pour les deux composants présentant des dépendances faillibles bien que non chargés : Les composants Alfresco Content Services Community sont planifiés pour mise à jour majeur dans la prochaine version intermédiaire de GoFAST Le composant Apache Solr est planifié pour mise à jour majeur dans la prochaine version intermédiaire de GoFAST Le comité sécurité de CEO-Vision continue de suivre activement : Les annonces éditeurs (Apache, Hyland, RedHat, ..) Les recommandations de durcissement/mitigation Les retours d’expérience (CNA/NVD, bulletins OS, etc.) Pour les administrateurs GoFAST Enterprise, si vous êtes dans une version de GoFAST non supportée nous vous engageons à vous rapprocher de votre support Enterprise dans le ticket de mise à jour qui vous a été ouvert pour planifier la montée de version au plus vite. Bonne journée !

Bonjour, Le comportement actuel est effectivement intentionnel. Je comprends l'intérêt de séparer les deux types d'éléments dans des arborescences distinctes. Cependant, le fait de les regrouper présente également certains avantages. Avec le fonctionnement actuel, il est possible de séparer les Documents et les Espaces en créant deux collections (par exemple, "Documents" et "Espaces"), ce qui permet de replier facilement le contenu non pertinent dans chacune des arborescences. [image: 1730209043983-c9128c15-07d4-4352-873e-2f33c2685f45-image.png] Cela dit, j'admets que ce fonctionnement n'est pas optimal pour l'utilisation que vous envisagez. En effet, lors du chargement du tableau de bord ou de la création de nouvelles collections, toutes les collections à la racine de l'arborescence sont dépliées par défaut, obligeant l'utilisateur à effectuer des actions supplémentaires. Le problème d'avoir deux arborescences distinctes est qu'il ne serait plus possible de regrouper documents et espaces dans les mêmes collections dans le menu des favoris de la barre supérieure. Nous restons donc ouverts à toute proposition concernant cette fonctionnalité si la solution proposée ne convient pas ou si elle peux être amélioré.

La vulnérabilité Le 3 décembre 2025, une vulnérabilité critique (score CVSS 10/10) a été dévoilée, affectant plusieurs composants de l’écosystème React, notamment Next.js, React Router, ainsi que d’autres frameworks reposant sur React. Cette faille, baptisée React2Shell, est référencée sous les identifiants CVE-2025-55182 et CVE-2025-66478. Les versions concernées sont : React : 19.0, 19.1 et 19.2 Next.js : versions 15 à 16 La vulnérabilité permet à un attaquant non authentifié d’envoyer des données spécialement conçues afin qu’elles soient interprétées comme du code sur le serveur. Cela peut conduire à une exécution de commandes arbitraires côté serveur. Impact sur GoFAST GoFAST n'utilise pas directement React ni Next.js dans son architecture. Dès la divulgation de la vulnérabilité, notre équipe a réalisé une analyse approfondie de l’impact sur les composants interconnectés, tels que Element et Jitsi, qui intègrent certaines dépendances liées à React. Cette analyse a confirmé que aucune de ces dépendances n’est affectée. Ces informations sont diffusées à titre de référence. Nous continuons de surveiller activement les éditeurs ainsi l’écosystème open source afin de détecter rapidement tout impact potentiel et garantir la sécurité continue de GoFAST.

Dear community, The CVE-2025-66516 describes an XXE (XML External Entity injection) vulnerability in Apache Tika. It can be exploited when Tika processes PDFs containing specially crafted XFA (XML Forms Architecture) content. Following the CVE publication and analysis, we performed a full identification of all Tika dependencies within the GoFAST ecosystem: CEO-Vision executable (embedded binary) Alfresco (transformation component) Solr (extraction module "SolrCell") This post provides a retrospective of the analyses performed and the actions taken by our security committee to address this vulnerability. References: NVD record RedHat record Apache Solr advisory Alfresco advisory ️ Embedded CEO-Vision Tika executable Even though the embedded executable is not directly exposed and is only used after multiple control layers (application stack, security filtering, antivirus scans, etc.), it was immediately handled within our security pipeline. As a result: The embedded Tika component was immediately updated through a dedicated security patch, progressively deployed to all supported GoFAST Enterprise production environments without requiring any service interruption. The fix has been integrated into the current GoFAST security release 4.4.1 and will also be included in upcoming versions. ️ Tika dependencies in Alfresco The Alfresco Content Services Community Distribution may embed Tika dependencies that require updates in certain setups. However, the GoFAST core component Alfresco Repository is not impacted, as it has no longer performed content extraction internally since version 7.0. The impacted Alfresco component is Alfresco Transform Core, used via T-Engine, which has not been installed or used in GoFAST since v4. Document transformations are now handled directly by our embedded applications, mainly for performance reasons (OnlyOffice, LibreOffice, embedded Tika executable, etc.). Attempting to activate the Alfresco transformer confirmed that the component is not loaded, as it is not present in our deployments: [image: 1767091400468-f03d6ceb-a5e4-4ca0-811a-0aea0ea25fd4-image.png] It has therefore been confirmed that the Alfresco CE integration in GoFAST is not vulnerable to CVE-2025-66516. ️ Tika dependencies in Apache Solr Apache Solr may also embed Tika dependencies that require updates in some configurations. The vulnerability affects the extraction module (SolrCell), which is not used in our GoFAST integration of Apache Solr. In GoFAST, content and metadata extraction has always been fully managed by our application stack (Alfresco, embedded Tika executable, etc.). As a preventive measure, we still attempted to deploy the vendor-recommended mitigation for impacted environments, and confirmed that the extraction libraries are not even loaded in our case: [image: 1767091792560-f317a989-a56f-4237-a559-c768d4179924-image.png] It has therefore been confirmed that the Apache Solr integration in GoFAST is not vulnerable to CVE-2025-66516. ️ Roadmap, Monitoring & Security Watch The following roadmap has been defined for the two components that contain Tika dependencies but do not load them in our deployments: Alfresco Content Services Community components are scheduled for a major update in the next intermediate GoFAST release. Apache Solr is also scheduled for a major update in the next intermediate GoFAST release. The CEO-Vision security committee continues to actively monitor: Vendor announcements (Apache, Hyland, RedHat, etc.) Hardening and mitigation recommendations Field feedback (CNA/NVD updates, OS security bulletins, etc.) For GoFAST Enterprise administrators: if you are currently running an unsupported GoFAST version, we strongly encourage you to contact your Enterprise Support via the update ticket that was opened for you, in order to plan your upgrade as soon as possible. Have a great day!