KeyCloak et Mattermost Server : CERT-FR émet deux avis de…

KeyCloak et Mattermost Server : le CERT-FR émet deux nouveaux avis de sécurité le 29 juin

L'agence gouvernementale a relayé deux séries de correctifs concernant le gestionnaire d'accès KeyCloak et la plateforme de messagerie Mattermost Server, tous deux affectés par de multiples vulnérabilités.

Publié le 29 juin 2026 à 13h23 · 2 min de lecture

Deux nouvelles alertes du CERT-FR

Le 29 juin, l'équipe gouvernementale de réponse aux incidents informatiques (CERT-FR) a publié deux avis de sécurité distincts. Le premier concerne le logiciel de gestion d'identité et d'accès KeyCloak ; le second vise la plateforme de communication collaborative Mattermost Server. Dans les deux cas, de multiples vulnérabilités ont été corrigées par les éditeurs respectifs.

KeyCloak : huit failles colmatées, dont des risques critiques

Le bulletin du CERT-FR relatif à KeyCloak (référence CERTFR-2026-AVI-0815) fait état de huit bulletins de sécurité émis le 26 juin par l'éditeur. Les versions concernées sont les séries 26.0.x antérieures à la version 26.0.10, ainsi que les versions 26.6.x antérieures à la version 26.6.4.

Les risques identifiés sont particulièrement graves. Selon l'avis officiel, les failles pourraient permettre à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges, une atteinte à l'intégrité et à la confidentialité des données, un contournement de la politique de sécurité, ou encore une injection de code indirecte à distance (XSS). Les administrateurs sont invités à appliquer sans délai les correctifs fournis par l'éditeur via les huit advisories de sécurité (GHSA-2qxf-v3g6-73v9, GHSA-32h4-44jj-c5vx, GHSA-9jrw-8xf7-xqhq, GHSA-f5p5-6xmx-p252, GHSA-j97h-3f8r-mrjr, GHSA-r7rc-c989-86g6, GHSA-v3f7-2p4r-mwfw et GHSA-w3p3-7cjg-vgfw).

Mattermost Server : quatre bulletins pour la messagerie d'équipe

Le second avis (CERTFR-2026-AVI-0813) porte sur Mattermost Server, un logiciel de messagerie instantanée utilisé par de nombreuses organisations. Quatre bulletins de sécurité (MMSA-2026-00666, MMSA-2026-00681, MMSA-2026-00694 et MMSA-2026-00695), tous datés du 26 juin, corrigent des vulnérabilités multiples.

Les versions impactées couvrent plusieurs branches de maintenance : les versions 10.11.x antérieures à 10.11.21, les versions 11.6.x antérieures à 11.6.6, les versions 11.7.x antérieures à 11.7.5, et les versions 11.8.x antérieures à 11.8.2. Le CERT-FR précise que le risque exact n'a pas été spécifié par l'éditeur. Comme pour KeyCloak, la mise à jour vers la dernière version disponible est recommandée pour garantir la sécurité des installations.

Calendrier et mesures

Ces deux avis s'inscrivent dans une série de publications régulières du CERT-FR, qui surveille en continu les vulnérabilités des logiciels largement déployés. Les correctifs sont accessibles sur les sites des éditeurs (GitHub pour KeyCloak, le portail de Mattermost). Aucune exploitation active de ces failles n'a été signalée à ce stade par les autorités.

KeyCloak et Mattermost Server : le CERT-FR émet deux nouveaux avis de sécurité le 29 juin

Évolution du sujet

À lire ensuite

Mémoire vive : une action collective aux États-Unis accuse Samsung, SK Hynix et Micron d'entente illicite

Ford réengage 350 ingénieurs d'expérience après l'échec de ses inspections par IA

Cartes.gouv.fr : le portail cartographique de l'IGN dévoile son calendrier et ses ambitions

Mémoire vive : Samsung, SK Hynix et Micron accusés d'avoir orchestré une pénurie artificielle