Deux nouvelles alertes de l’agence de cybersécurité
Deux avis de sécurité ont été publiés par le service gouvernemental chargé de la surveillance des systèmes d’information, le 24 juin 2026. Le premier concerne la bibliothèque cURL et son outil associé, le second cible la solution Tenable Identity Exposure. Ces annonces interviennent après une série de publications récentes portant sur des produits tels que Spring, Cisco ou Oracle PeopleSoft.
cURL et libcurl : dix-neuf vulnérabilités colmatées dans la version 8.21.0
L’avis référencé CERTFR-2026-AVI-0797 fait état de multiples fragilités découvertes dans cURL et sa bibliothèque libcurl. Au total, dix-neuf failles de sécurité, identifiées par des numéros CVE, ont été corrigées dans la version 8.21.0. Selon le document officiel, les versions antérieures à cette mouture sont concernées.
Les risques associés incluent un déni de service à distance, une atteinte à la confidentialité des données ainsi qu’un contournement de la politique de sécurité. Les éditeurs de la solution ont diffusé des correctifs spécifiques pour chaque vulnérabilité, accessibles via leurs bulletins de sécurité respectifs. Les utilisateurs sont invités à mettre à jour leur installation vers la version 8.21.0 pour neutraliser ces menaces.
Tenable Identity Exposure : dix-neuf vulnérabilités dont une exécution de code à distance
Le second avis, numéroté CERTFR-2026-AVI-0796, alerte sur de multiples vulnérabilités découvertes dans Tenable Identity Exposure. L’éditeur Tenable a publié un bulletin de sécurité (tns-2026-16) le 23 juin 2026 pour détailler les correctifs apportés à la version 3.93.5. Toutes les versions antérieures sont considérées comme vulnérables.
Parmi les failles identifiées – au nombre de dix-neuf également – figurent des risques graves : exécution de code arbitraire à distance, injection SQL, déni de service, atteinte à la confidentialité et à l’intégrité des données, ainsi qu’un contournement de la politique de sécurité. Les identifiants CVE correspondants ont été publiés, chacun renvoyant à une description détaillée sur le site officiel du programme CVE.
Recommandations aux administrateurs et utilisateurs
Dans les deux avis, l’agence recommande de se reporter aux bulletins de sécurité des éditeurs pour obtenir les mises à jour nécessaires. Aucune solution de contournement n’a été proposée en l’absence de correctif. Les équipes techniques sont invitées à appliquer sans délai les versions patchées afin de réduire la surface d’attaque.
Contexte et précédents récents
Ces annonces s’inscrivent dans un flux régulier d’avis émis par le service de veille et de réaction aux incidents informatiques. Au cours des derniers jours, des vulnérabilités avaient déjà été signalées dans des produits majeurs tels que Nginx, Drupal, Cisco, Atlassian, Splunk, Mitel, Oracle PeopleSoft ou encore le framework Spring. La publication du 24 juin confirme la vigilance continue de l’entité face aux menaces pesant sur les infrastructures critiques et les logiciels largement déployés.
