⚠ Correction du 4 juin 2026 — Cet article a été corrigé suite à un signalement de Stormshield. La version originale contenait des erreurs factuelles graves (CVE mal attribué, CVSS surévalué, référence CERT-FR inexistante). Le contenu ci-dessous est la version corrigée et vérifiée.

En bref

  • L'avis CERT-FR CERTFR-2026-AVI-0631 concerne CVE-2025-9086 dans Stormshield SNS — une vulnérabilité libcurl de sévérité CVSS 2.7 Low
  • Risque réel : déni de service à distance — pas une RCE critique, pas d'accès non authentifié au système
  • Correctif disponible : Stormshield Bulletin 2026-010 (SNS 4.3.43 / 4.8.16 / 5.0.6)

CERTFR-2026-AVI-0631 : ce que dit vraiment le CERT-FR

L'avis de sécurité CERTFR-2026-AVI-0631 publié par le CERT-FR porte sur la vulnérabilité CVE-2025-9086 affectant Stormshield Network Security (SNS). Il s'agit d'un avis de sécurité (AVI) — non d'une alerte critique (ALS) — ce qui reflète fidèlement le niveau de sévérité réel de la vulnérabilité : CVSS 2.7, sévérité Low.

La distinction entre un avis CERT-FR (CERTFR-YYYY-AVI-XXXX) et une alerte CERT-FR (CERTFR-YYYY-ALS-XXXX) est fondamentale. Les alertes sont réservées aux vulnérabilités critiques faisant l'objet d'une exploitation active ou présentant un risque systémique immédiat. Les avis couvrent les vulnérabilités nécessitant une attention et un traitement dans le cadre des cycles normaux de gestion des correctifs. CERTFR-2026-AVI-0631 appartient à cette deuxième catégorie.

CVE-2025-9086 est une vulnérabilité dans le composant libcurl embarqué dans les appliances Stormshield SNS. La bibliothèque libcurl est une bibliothèque open source de transfert de données largement utilisée, dont un heap buffer overflow a été identifié dans les versions 8.13.0 à 8.15.x. Dans le contexte SNS, l'exploitation de cette faille pourrait provoquer un déni de service affectant les fonctionnalités réseau dépendant de ce composant, sans permettre l'exécution de code arbitraire.

Stormshield a traité cette vulnérabilité dans son Bulletin de sécurité 2026-010. Ce bulletin documente les versions affectées (SNS 4.3.x, 4.4–4.8.x, 5.0.x) et fournit le correctif sous forme de mise à jour vers SNS 4.3.43, 4.8.16 ou 5.0.6 selon la branche déployée. Le bulletin ne mentionne aucun scénario d'exploitation active ni de preuve de concept publiquement disponible.

Panorama des vrais avis CERT-FR sur Stormshield SNS en 2026

Pour donner à CERTFR-2026-AVI-0631 son juste contexte, voici les avis CERT-FR réels publiés sur Stormshield SNS en 2026 :

  • CERTFR-2026-AVI-0007 (6 janvier 2026) — CVE-2025-31115 : heap use-after-free dans le décodeur XZ multi-threadé de SNS 5.0.x. Impact théorique RCE/DoS, mais CVSS réel évalué à 3.5 Low par Stormshield (vecteur local, complexité haute). Corrigé dans SNS 5.0.4.
  • CERTFR-2026-AVI-0219 (27 février 2026) — Bypass de droits dans le VPN SSL de SNS 5.0.2 EA à 5.0.4 EA, CVSS 5.1 Medium, sans CVE assigné. Corrigé dans SNS 5.0.5.
  • CERTFR-2026-AVI-0259 (11 mars 2026) — Vulnérabilités OpenSSL (CVE-2024-13176, CVE-2025-68160, CVE-2025-69418) dans SNS. SNS finalement non affecté selon la mise à jour Stormshield du 27 avril 2026 (Bulletin 2026-001).
  • CERTFR-2026-AVI-0631 — CVE-2025-9086 libcurl, CVSS 2.7 Low, DoS uniquement. Corrigé dans SNS 4.3.43 / 4.8.16 / 5.0.6 (Bulletin 2026-010).

Ce panorama montre que Stormshield SNS n'a pas fait l'objet de vulnérabilité critique (CVSS ≥ 9) en 2025-2026. Les avis publiés concernent des composants tiers embarqués (libcurl, OpenSSL, xz-utils) ou des vulnérabilités de sévérité faible à moyenne, traitées dans des délais normaux par l'éditeur.

Recommandations

  • Mettre à jour SNS vers 4.3.43 / 4.8.16 / 5.0.6 (selon la branche) pour corriger CVE-2025-9086
  • Consulter le portail advisories.stormshield.eu pour l'ensemble des bulletins actifs
  • Référencer CERTFR-2026-AVI-0631 dans le registre de gestion des vulnérabilités — traitement dans le cycle normal, pas en urgence

À retenir

CERTFR-2026-AVI-0631 est un avis de sécurité (non une alerte) portant sur CVE-2025-9086 dans Stormshield SNS — une vulnérabilité libcurl CVSS 2.7 Low, sans RCE. Il n'existe pas de référence CERTFR-2026-ALS-006. Le correctif est disponible dans le Bulletin Stormshield 2026-010.