Stormshield SMC 3.9.2 corrige un lot OpenSSL/PostgreSQL (CERTFR-2026-AVI-0816)
Le CERT-FR relaie le bulletin Stormshield 2026-012 : cinq CVE OpenSSL et PostgreSQL embarquées dans SMC, correctif en 3.9.2. RCE, confidentialité et intégrité listées.
Le CERT-FR a publié le 29 juin 2026 l'avis CERTFR-2026-AVI-0816 répercutant le bulletin éditeur Stormshield 2026-012. L'avis porte sur Stormshield Management Center (SMC) — la console qui pilote un parc de firewalls SNS — et documente cinq CVE : CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638. Le CERT-FR retient trois effets : « exécution de code arbitraire, atteinte à la confidentialité des données et atteinte à l'intégrité des données ». Aucune exploitation active n'est mentionnée.
Périmètre concerné
Selon le bulletin éditeur :
- SMC antérieures à 3.9.2 sont vulnérables.
- Le correctif est SMC 3.9.2, publié le 29 juin 2026.
- Le bulletin identifie les composants amont concernés : OpenSSL et PostgreSQL embarqués dans SMC. Les CVE listées ne sont pas des bugs propres à Stormshield mais des vulnérabilités bibliothèque intégrées via la pile applicative de la console.
L'avis CERT-FR ne classe pas les cinq CVE par composant. Il faut lire le bulletin Stormshield en parallèle pour cartographier ce qui relève d'OpenSSL et ce qui relève de PostgreSQL — utile pour un RSSI qui veut estimer si un contournement réseau (bloquer l'accès à la BDD, restreindre les fonctions crypto exposées) a un intérêt pendant la fenêtre de patch.
Les firewalls SNS ne sont pas concernés par cet avis. C'est bien la console de supervision qui est visée, pas les boîtiers qu'elle administre. Un opérateur qui n'utilise pas SMC pour piloter son parc n'a rien à faire ici.
Ce que fait la vulnérabilité
Le CERT-FR retient trois effets combinés — RCE, confidentialité, intégrité — sans détailler par CVE. C'est le pattern classique d'une mise à jour amont qui rassemble des bugs mémoire OpenSSL (débordements, lectures hors bornes, incohérences de cycle de vie) et des bugs PostgreSQL (élévation locale, corruption de plan de requête, échappement défectueux). Individuellement, chaque CVE peut être bénigne ; groupées et intégrées dans un binaire qui écoute sur le réseau de gestion et concentre les configurations d'un parc entier de firewalls, elles justifient un bulletin critique.
Stormshield ne publie pas de score CVSS agrégé pour le bulletin 2026-012. L'avis CERT-FR n'en publie pas non plus. Pour prioriser, il faut donc s'appuyer sur les scores des CVE amont — ou, plus pragmatiquement, sur la classification CERT-FR (RCE présente dans la liste des effets) qui vaut priorité haute quel que soit le CVSS composite.
Aucun PoC n'est référencé.
Statut de l'exploitation
Ni le CERT-FR ni Stormshield ne mentionnent d'exploitation active à la publication. La console SMC est, par construction, un composant que les organisations exposent peu sur internet — c'est un service de gestion interne. La surface d'exposition externe est donc réduite, mais la surface d'attaque interne ne l'est pas : depuis un poste compromis sur le réseau d'administration, une RCE sur SMC équivaut à un pivot vers l'ensemble du parc SNS piloté.
Que faire
- Planifier la bascule SMC 3.9.2 sur les consoles de production. Le bulletin éditeur documente la procédure de mise à jour standard ; pas de contournement applicatif.
- Vérifier l'exposition réseau de SMC. Les instances joignables depuis un réseau bureautique large — a fortiori depuis internet via un reverse-proxy — sont prioritaires. SMC n'a pas vocation à être exposée en dehors du VLAN d'administration.
- Auditer les comptes techniciens SMC. Une RCE sur la console remet en cause l'intégrité des configurations poussées vers les SNS gérés : comptes dormants, comptes de prestataires qui ne devraient plus avoir accès, exports de configuration récents. Faire l'inventaire avant la mise à jour, pas après.
- Ne pas rejouer les sauvegardes de configuration comme si de rien n'était. Si la RCE a été exploitée dans la fenêtre d'exposition (peu probable mais non nul), les configurations exportées entre l'apparition des CVE amont et l'application du patch peuvent être suspectes. Comparer aux versions antérieures avant de restaurer.
- Suivre le bulletin éditeur sur
advisories.stormshield.eu/2026-012/— c'est là que remonteraient un PoC public ou une observation d'exploitation, pas dans l'avis CERT-FR qui n'est pas révisé après publication.
Contexte
C'est le deuxième bulletin Stormshield relayé par le CERT-FR que nous couvrons en un mois. Le premier, CERTFR-2026-AVI-0723, portait sur une fuite d'information OpenSSL (CVE-2026-31790) affectant SNS 5.x — la branche firewall. Celui-ci porte sur SMC — la console. Deux composants différents de la même pile, deux avis CERT-FR en trois semaines. Ce n'est pas une anomalie : les éditeurs qui embarquent OpenSSL et PostgreSQL dans des appliances de sécurité doivent répercuter l'intégralité du flux amont, et la cadence des mises à jour est fixée par les amonts, pas par eux.
Pour un RSSI d'OIV ou OSE, la valeur opérationnelle de ce type d'avis n'est pas dans le détail des CVE mais dans le délai entre publication éditeur et intégration sur le parc. Sur cet avis, la fenêtre est courte — bulletin et correctif publiés le même jour — et c'est le cas idéal. La responsabilité passe intégralement du côté de l'opérateur.