⚠ Correction du 4 juin 2026 — Cet article a été corrigé suite à un signalement de Stormshield. La version originale contenait des erreurs factuelles graves (CVE mal attribué, CVSS surévalué, référence CERT-FR inexistante). Le contenu ci-dessous est la version corrigée et vérifiée.

En bref

  • CVE-2025-9086 affecte bien Stormshield Network Security (SNS) — mais il s'agit d'une vulnérabilité dans le composant libcurl embarqué, classée CVSS 2.7 Low
  • Risque réel : déni de service à distance uniquement — pas d'exécution de code arbitraire, pas de RCE non authentifiée
  • Référence CERT-FR : CERTFR-2026-AVI-0631 (avis de sécurité, pas une alerte critique) · Correctif : Stormshield Bulletin 2026-010

Les faits

Le CERT-FR a publié l'avis de sécurité CERTFR-2026-AVI-0631 concernant la vulnérabilité CVE-2025-9086 dans Stormshield Network Security (SNS). Contrairement à ce qui a pu être relayé dans certaines publications, cette vulnérabilité n'est pas une exécution de code à distance sans authentification. Elle affecte le composant libcurl embarqué dans SNS et expose les appliances à un risque de déni de service à distance, avec un score CVSS de 2.7 (Low).

CVE-2025-9086 est une vulnérabilité dans la bibliothèque libcurl (versions 8.13.0 à 8.15.x) liée à un heap buffer overflow dans la logique de comparaison des chemins de cookies. Dans le contexte de Stormshield SNS, ce composant est utilisé pour certaines fonctionnalités de communication réseau internes à l'appliance. Un attaquant distant capable de provoquer des interactions réseau spécifiques avec le composant libcurl de l'appliance pourrait déclencher un plantage du processus concerné, entraînant une interruption partielle du service. Aucun vecteur d'exécution de code arbitraire n'a été identifié dans le contexte du déploiement SNS.

Le bulletin Stormshield 2026-010, publié sur le portail officiel advisories.stormshield.eu, détaille les versions affectées et le correctif disponible. Les branches concernées sont SNS 4.3.x (corrigées dans 4.3.43), SNS 4.4 à 4.8.x (corrigées dans 4.8.16) et SNS 5.0.x (corrigées dans 5.0.6). Stormshield recommande l'application du correctif dans le cadre de la gestion normale des mises à jour de sécurité, sans urgence comparable à une vulnérabilité critique.

Il convient de replacer cette vulnérabilité dans le contexte plus large de la sécurité des composants open source embarqués dans les équipements réseau. Comme tout éditeur intégrant des bibliothèques tierces (OpenSSL, libcurl, zlib…), Stormshield est soumis aux cycles de publication de correctifs de ces composants upstream. La divulgation de CVE-2025-9086 via le CERT-FR illustre la rigueur du processus de divulgation coordonnée qui permet aux administrateurs de maintenir leurs équipements à jour, même pour des vulnérabilités de faible sévérité.

La qualification ANSSI des produits Stormshield SNS — sous le schéma Critères Communs au niveau EAL3+ — implique un processus de revue et de gestion des vulnérabilités particulièrement rigoureux. La publication rapide du Bulletin 2026-010 après la divulgation de CVE-2025-9086 illustre cette rigueur opérationnelle. Les organisations déployant SNS dans des contextes sensibles (OIV, administrations, établissements de santé) peuvent appliquer ce correctif lors de la prochaine fenêtre de maintenance planifiée, sans devoir déclencher une procédure d'urgence.

Versions affectées et correctifs

Le correctif est disponible sur le portail clients Stormshield (my.stormshield.eu) pour les organisations disposant d'un contrat de support actif.

  • SNS 4.3.x → mettre à jour vers SNS 4.3.43 ou supérieur
  • SNS 4.4.x à 4.8.x → mettre à jour vers SNS 4.8.16 ou supérieur
  • SNS 5.0.x → mettre à jour vers SNS 5.0.6 ou supérieur

Recommandations

  • Planifier la mise à jour SNS vers la version corrigée lors de la prochaine fenêtre de maintenance
  • Consulter le bulletin officiel Stormshield 2026-010 pour le détail technique complet
  • Référencer l'avis CERT-FR CERTFR-2026-AVI-0631 dans le registre de traitement des vulnérabilités
  • Ne pas confondre cette vulnérabilité de sévérité Low avec une alerte critique — aucune procédure d'urgence n'est requise

CVE-2025-9086 est-il exploitable à distance sans authentification dans SNS ?

Non. CVE-2025-9086 est une vulnérabilité dans libcurl (CVSS 2.7 Low) qui expose à un déni de service partiel. Il n'existe pas de vecteur d'exécution de code à distance sans authentification associé à cette CVE dans le contexte Stormshield SNS. Le bulletin officiel Stormshield 2026-010 et l'avis CERTFR-2026-AVI-0631 ne mentionnent aucun scénario RCE.

Faut-il appliquer le patch en urgence ?

Non, pas en procédure d'urgence. Le CVSS 2.7 Low indique une sévérité faible. La mise à jour peut être planifiée dans le cadre du cycle normal de gestion des correctifs. En revanche, elle reste recommandée pour maintenir l'intégrité du parc SNS à jour.

À retenir

CVE-2025-9086 dans Stormshield SNS est une vulnérabilité libcurl de sévérité faible (CVSS 2.7 Low), exposant à un déni de service — pas à une RCE. Référence officielle : CERTFR-2026-AVI-0631 et Bulletin Stormshield 2026-010. Correctif disponible dans SNS 4.3.43 / 4.8.16 / 5.0.6.