Une faille de sécurité affectant LibreNMS, un logiciel libre de supervision de réseaux, a été officialisée le 15 juin 2026. Identifiée sous la référence GHSA-7w8c-qgxg-m7jx, cette vulnérabilité de type « injection de code indirecte à distance » (XSS) permet à un attaquant d'exécuter du code malveillant dans le navigateur d'un utilisateur légitime.
Le risque classé par les autorités françaises comme étant une injection XSS expose les systèmes non mis à jour à une compromission potentielle. L'équipe de développement de LibreNMS a réagi en diffusant un correctif de sécurité, invitant l'ensemble des administrateurs à appliquer sans délai les dernières mises à jour.
Systèmes concernés
Toutes les installations de LibreNMS qui ne bénéficient pas des derniers correctifs sont considérées comme vulnérables. L'éditeur n'a pas précisé le vecteur d'attaque exact, mais la classification XSS suggère qu'une interaction d'un utilisateur avec un contenu piégé (lien malveillant, formulaire, etc.) pourrait déclencher l'exploitation.
Réaction des autorités
Le service gouvernemental français chargé de la réponse aux incidents informatiques (CERT-FR) a émis un avis de sécurité le 16 juin 2026, référencé CERTFR-2026-AVI-0755, pour alerter les acteurs concernés. L'avis reprend les informations du bulletin de l'éditeur et recommande la consultation de la documentation officielle pour l'obtention des correctifs.
Mesures à prendre
Les administrateurs système sont invités à se référer au bulletin de sécurité LibreNMS GHSA-7w8c-qgxg-m7jx et à mettre à jour leur instance vers la version corrigée. Aucune solution de contournement n'a été mentionnée par l'éditeur à ce stade.
Contexte
LibreNMS est un outil de supervision réseau largement déployé dans les environnements professionnels. Les vulnérabilités de type XSS, bien que souvent moins critiques qu'une injection directe de commandes, peuvent néanmoins ouvrir la voie à des vols de sessions, des défigurations de page ou des redirections vers des sites frauduleux.
