Multiple critical vulnerabilities in Stormshield Management Center, including remote code execution, denial of service, and data confidentiality breaches, stem from underlying OpenSSL components. The vulnerabilities affect all versions prior to 3.9.1, with specific OpenSSL CVEs including CVE-2025-69421 (CVSS 7.5 HIGH). Remediation requires upgrading to Stormshield Management Center version 3.9.1, as detailed in the referenced Stormshield security bulletins.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 23 avril 2026 N° CERTFR-2026-AVI-0483 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Stormshield Management Center Gestion du document Référence CERTFR-2026-AVI-0483 Titre Multiples vulnérabilités dans Stormshield Management Center Date de la première version 23 avril 2026 Date de la dernière version 23 avril 2026 Source(s) Bulletin de sécurité StormShield 2026-004 du 22 avril 2026 Bulletin de sécurité StormShield 2026-005 du 22 avril 2026 Bulletin de sécurité StormShield 2026-008 du 22 avril 2026 Bulletin de sécurité StormShield 2026-009 du 22 avril 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Déni de service à distance Exécution de code arbitraire à distance Systèmes affectés ShieldStormshield Management Center versions antérieures à 3.9.1 Résumé De multiples vulnérabilités ont été découvertes dans Stormshield Management Center. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité StormShield 2026-004 du 22 avril 2026 https://advisories.stormshield.eu/2026-004 Bulletin de sécurité StormShield 2026-005 du 22 avril 2026 https://advisories.stormshield.eu/2026-005 Bulletin de sécurité StormShield 2026-008 du 22 avril 2026 https://advisories.stormshield.eu/2026-008 Bulletin de sécurité StormShield 2026-009 du 22 avril 2026 https://advisories.stormshield.eu/2026-009 Référence CVE CVE-2025-11187 https://www.cve.org/CVERecord?id=CVE-2025-11187 Référence CVE CVE-2025-68160 https://www.cve.org/CVERecord?id=CVE-2025-68160 Référence CVE CVE-2025-69421 https://www.cve.org/CVERecord?id=CVE-2025-69421 Référence CVE CVE-2026-2003 https://www.cve.org/CVERecord?id=CVE-2026-2003 Référence CVE CVE-2026-2005 https://www.cve.org/CVERecord?id=CVE-2026-2005 Référence CVE CVE-2026-2006 https://www.cve.org/CVERecord?id=CVE-2026-2006 Référence CVE CVE-2026-21713 https://www.cve.org/CVERecord?id=CVE-2026-21713 Référence CVE CVE-2026-21717 https://www.cve.org/CVERecord?id=CVE-2026-21717 Référence CVE CVE-2026-22795 https://www.cve.org/CVERecord?id=CVE-2026-22795 Référence CVE CVE-2026-22796 https://www.cve.org/CVERecord?id=CVE-2026-22796 Gestion détaillée du document le 23 avril 2026 Version initiale