Analyse des avis CERT-FR 2026 sur Stormshield SNS : CERTFR-2026-AVI-0631 (CVE-2025-9086, libcurl CVSS 2.7 Low, déni de service) et CERTFR-2026-AVI-0219 (bypass VPN SSL CVSS 5.1, SNS 5.0.2-5.0.4 EA). Correctifs disponibles.
En bref
- L'avis CERT-FR CERTFR-2026-AVI-0631 concerne CVE-2025-9086 dans Stormshield SNS — une vulnérabilité libcurl de sévérité CVSS 2.7 Low
- Risque réel : déni de service à distance — pas une RCE critique, pas d'accès non authentifié au système
- Correctif disponible : Stormshield Bulletin 2026-010 (SNS 4.3.43 / 4.8.16 / 5.0.6)
CERTFR-2026-AVI-0631 : ce que dit vraiment le CERT-FR
L'avis de sécurité CERTFR-2026-AVI-0631 publié par le CERT-FR porte sur la vulnérabilité CVE-2025-9086 affectant Stormshield Network Security (SNS). Il s'agit d'un avis de sécurité (AVI) — non d'une alerte critique (ALS) — ce qui reflète fidèlement le niveau de sévérité réel de la vulnérabilité : CVSS 2.7, sévérité Low.
La distinction entre un avis CERT-FR (CERTFR-YYYY-AVI-XXXX) et une alerte CERT-FR (CERTFR-YYYY-ALS-XXXX) est fondamentale. Les alertes sont réservées aux vulnérabilités critiques faisant l'objet d'une exploitation active ou présentant un risque systémique immédiat. Les avis couvrent les vulnérabilités nécessitant une attention et un traitement dans le cadre des cycles normaux de gestion des correctifs. CERTFR-2026-AVI-0631 appartient à cette deuxième catégorie.
CVE-2025-9086 est une vulnérabilité dans le composant libcurl embarqué dans les appliances Stormshield SNS. La bibliothèque libcurl est une bibliothèque open source de transfert de données largement utilisée, dont un heap buffer overflow a été identifié dans les versions 8.13.0 à 8.15.x. Dans le contexte SNS, l'exploitation de cette faille pourrait provoquer un déni de service affectant les fonctionnalités réseau dépendant de ce composant, sans permettre l'exécution de code arbitraire.
Stormshield a traité cette vulnérabilité dans son Bulletin de sécurité 2026-010. Ce bulletin documente les versions affectées (SNS 4.3.x, 4.4–4.8.x, 5.0.x) et fournit le correctif sous forme de mise à jour vers SNS 4.3.43, 4.8.16 ou 5.0.6 selon la branche déployée. Le bulletin ne mentionne aucun scénario d'exploitation active ni de preuve de concept publiquement disponible.
Panorama des vrais avis CERT-FR sur Stormshield SNS en 2026
Pour donner à CERTFR-2026-AVI-0631 son juste contexte, voici les avis CERT-FR réels publiés sur Stormshield SNS en 2026 :
- CERTFR-2026-AVI-0007 (6 janvier 2026) — CVE-2025-31115 : heap use-after-free dans le décodeur XZ multi-threadé de SNS 5.0.x. Impact théorique RCE/DoS, mais CVSS réel évalué à 3.5 Low par Stormshield (vecteur local, complexité haute). Corrigé dans SNS 5.0.4.
- CERTFR-2026-AVI-0219 (27 février 2026) — Bypass de droits dans le VPN SSL de SNS 5.0.2 EA à 5.0.4 EA, CVSS 5.1 Medium, sans CVE assigné. Corrigé dans SNS 5.0.5.
- CERTFR-2026-AVI-0259 (11 mars 2026) — Vulnérabilités OpenSSL (CVE-2024-13176, CVE-2025-68160, CVE-2025-69418) dans SNS. SNS finalement non affecté selon la mise à jour Stormshield du 27 avril 2026 (Bulletin 2026-001).
- CERTFR-2026-AVI-0631 — CVE-2025-9086 libcurl, CVSS 2.7 Low, DoS uniquement. Corrigé dans SNS 4.3.43 / 4.8.16 / 5.0.6 (Bulletin 2026-010).
Ce panorama montre que Stormshield SNS n'a pas fait l'objet de vulnérabilité critique (CVSS ≥ 9) en 2025-2026. Les avis publiés concernent des composants tiers embarqués (libcurl, OpenSSL, xz-utils) ou des vulnérabilités de sévérité faible à moyenne, traitées dans des délais normaux par l'éditeur.
Recommandations
- Mettre à jour SNS vers 4.3.43 / 4.8.16 / 5.0.6 (selon la branche) pour corriger CVE-2025-9086
- Consulter le portail advisories.stormshield.eu pour l'ensemble des bulletins actifs
- Référencer CERTFR-2026-AVI-0631 dans le registre de gestion des vulnérabilités — traitement dans le cycle normal, pas en urgence
À retenir
CERTFR-2026-AVI-0631 est un avis de sécurité (non une alerte) portant sur CVE-2025-9086 dans Stormshield SNS — une vulnérabilité libcurl CVSS 2.7 Low, sans RCE. Il n'existe pas de référence CERTFR-2026-ALS-006. Le correctif est disponible dans le Bulletin Stormshield 2026-010.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
CVE-2026-45659 : SharePoint RCE CVSS 8.8 Storm-2603 actif
CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
Patch Tuesday Juillet 2026 : CVE-2025-47981 NEGOEX CVSS 9.8
Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire