Analyse de CVE-2025-9086 dans Stormshield SNS : vulnérabilité libcurl (heap buffer overflow) classée CVSS 2.7 Low. Impact réel : déni de service à distance uniquement. Référence CERT-FR : CERTFR-2026-AVI-0631. Correctif : SNS 4.3.43, 4.8.16, 5.0.6.
En bref
- CVE-2025-9086 affecte bien Stormshield Network Security (SNS) — mais il s'agit d'une vulnérabilité dans le composant libcurl embarqué, classée CVSS 2.7 Low
- Risque réel : déni de service à distance uniquement — pas d'exécution de code arbitraire, pas de RCE non authentifiée
- Référence CERT-FR : CERTFR-2026-AVI-0631 (avis de sécurité, pas une alerte critique) · Correctif : Stormshield Bulletin 2026-010
Les faits
Le CERT-FR a publié l'avis de sécurité CERTFR-2026-AVI-0631 concernant la vulnérabilité CVE-2025-9086 dans Stormshield Network Security (SNS). Contrairement à ce qui a pu être relayé dans certaines publications, cette vulnérabilité n'est pas une exécution de code à distance sans authentification. Elle affecte le composant libcurl embarqué dans SNS et expose les appliances à un risque de déni de service à distance, avec un score CVSS de 2.7 (Low).
CVE-2025-9086 est une vulnérabilité dans la bibliothèque libcurl (versions 8.13.0 à 8.15.x) liée à un heap buffer overflow dans la logique de comparaison des chemins de cookies. Dans le contexte de Stormshield SNS, ce composant est utilisé pour certaines fonctionnalités de communication réseau internes à l'appliance. Un attaquant distant capable de provoquer des interactions réseau spécifiques avec le composant libcurl de l'appliance pourrait déclencher un plantage du processus concerné, entraînant une interruption partielle du service. Aucun vecteur d'exécution de code arbitraire n'a été identifié dans le contexte du déploiement SNS.
Le bulletin Stormshield 2026-010, publié sur le portail officiel advisories.stormshield.eu, détaille les versions affectées et le correctif disponible. Les branches concernées sont SNS 4.3.x (corrigées dans 4.3.43), SNS 4.4 à 4.8.x (corrigées dans 4.8.16) et SNS 5.0.x (corrigées dans 5.0.6). Stormshield recommande l'application du correctif dans le cadre de la gestion normale des mises à jour de sécurité, sans urgence comparable à une vulnérabilité critique.
Il convient de replacer cette vulnérabilité dans le contexte plus large de la sécurité des composants open source embarqués dans les équipements réseau. Comme tout éditeur intégrant des bibliothèques tierces (OpenSSL, libcurl, zlib…), Stormshield est soumis aux cycles de publication de correctifs de ces composants upstream. La divulgation de CVE-2025-9086 via le CERT-FR illustre la rigueur du processus de divulgation coordonnée qui permet aux administrateurs de maintenir leurs équipements à jour, même pour des vulnérabilités de faible sévérité.
La qualification ANSSI des produits Stormshield SNS — sous le schéma Critères Communs au niveau EAL3+ — implique un processus de revue et de gestion des vulnérabilités particulièrement rigoureux. La publication rapide du Bulletin 2026-010 après la divulgation de CVE-2025-9086 illustre cette rigueur opérationnelle. Les organisations déployant SNS dans des contextes sensibles (OIV, administrations, établissements de santé) peuvent appliquer ce correctif lors de la prochaine fenêtre de maintenance planifiée, sans devoir déclencher une procédure d'urgence.
Versions affectées et correctifs
Le correctif est disponible sur le portail clients Stormshield (my.stormshield.eu) pour les organisations disposant d'un contrat de support actif.
- SNS 4.3.x → mettre à jour vers SNS 4.3.43 ou supérieur
- SNS 4.4.x à 4.8.x → mettre à jour vers SNS 4.8.16 ou supérieur
- SNS 5.0.x → mettre à jour vers SNS 5.0.6 ou supérieur
Recommandations
- Planifier la mise à jour SNS vers la version corrigée lors de la prochaine fenêtre de maintenance
- Consulter le bulletin officiel Stormshield 2026-010 pour le détail technique complet
- Référencer l'avis CERT-FR CERTFR-2026-AVI-0631 dans le registre de traitement des vulnérabilités
- Ne pas confondre cette vulnérabilité de sévérité Low avec une alerte critique — aucune procédure d'urgence n'est requise
CVE-2025-9086 est-il exploitable à distance sans authentification dans SNS ?
Non. CVE-2025-9086 est une vulnérabilité dans libcurl (CVSS 2.7 Low) qui expose à un déni de service partiel. Il n'existe pas de vecteur d'exécution de code à distance sans authentification associé à cette CVE dans le contexte Stormshield SNS. Le bulletin officiel Stormshield 2026-010 et l'avis CERTFR-2026-AVI-0631 ne mentionnent aucun scénario RCE.
Faut-il appliquer le patch en urgence ?
Non, pas en procédure d'urgence. Le CVSS 2.7 Low indique une sévérité faible. La mise à jour peut être planifiée dans le cadre du cycle normal de gestion des correctifs. En revanche, elle reste recommandée pour maintenir l'intégrité du parc SNS à jour.
À retenir
CVE-2025-9086 dans Stormshield SNS est une vulnérabilité libcurl de sévérité faible (CVSS 2.7 Low), exposant à un déni de service — pas à une RCE. Référence officielle : CERTFR-2026-AVI-0631 et Bulletin Stormshield 2026-010. Correctif disponible dans SNS 4.3.43 / 4.8.16 / 5.0.6.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
AssuranceAmerica : 7 millions de permis de conduire exposés
AssuranceAmerica révèle une violation touchant près de 7 millions de conducteurs américains : numéros de permis de conduire, données d'assurance et informations personnelles exposés 115 jours après la détection de l'intrusion.
KDDI : 14 millions de comptes email compromis au Japon
KDDI confirme une violation zero-day exposant 12,2 millions d'emails et 7,6 millions de mots de passe d'abonnés de six FAI japonais dont NIFTY et BIGLOBE. L'intrusion est restée non détectée pendant 32 jours.
Helix cible SharePoint via vishing et détournement MFA
Helix est un nouveau groupe d'extorsion de données combinant vishing, device code phishing et détournement MFA pour infiltrer SharePoint d'entreprise sous Microsoft 365. Découverte de son mode opératoire et des mesures défensives prioritaires.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire