Plusieurs failles de sécurité corrigées dans les produits MongoDB, Splunk et LibreNMS

L'Agence nationale de la sécurité des systèmes d'information (ANSSI), via son CERT-FR, a publié le 11 juin 2026 une série d'avis relatifs à des vulnérabilités découvertes dans plusieurs produits logiciels largement déployés. Ces avis concernent le système de gestion de bases de données MongoDB, les plateformes d'analyse de données Splunk et l'outil de supervision réseau LibreNMS. Chaque avis détaille les risques encourus et les versions logicielles concernées.

Failles critiques dans MongoDB

Pour MongoDB, l'avis CERTFR-2026-AVI-0735 recense quatorze bulletins de sécurité distincts, datés du 9 juin 2026. Ces vulnérabilités, identifiées par les références CVE-2026-9735, CVE-2026-9740, CVE-2026-9741, CVE-2026-9742, CVE-2026-9743, CVE-2026-9746, CVE-2026-9747, CVE-2026-9748, CVE-2026-9749, CVE-2026-9750, CVE-2026-9751, CVE-2026-9752 et CVE-2026-9753, exposent les systèmes à deux types de risques principaux : une atteinte à la confidentialité des données et un déni de service à distance. Les versions affectées incluent Core Server 7.0.x antérieures à 7.0.35, les versions 8.0.x antérieures à 8.0.24, les versions 8.2.x antérieures à 8.2.10 ainsi que les versions 8.3.x antérieures à 8.3.3. Les administrateurs sont invités à se référer aux correctifs publiés par l'éditeur.

Vulnérabilités multiples dans l'écosystème Splunk

Splunk fait l'objet de l'avis CERTFR-2026-AVI-0736, qui compile douze bulletins de sécurité de l'éditeur, datés du 10 juin 2026. Le niveau de risque est jugé particulièrement élevé, car les failles identifiées permettent plusieurs types d'attaques : exécution de code arbitraire à distance, atteinte à la confidentialité des données, contournement de la politique de sécurité, falsification de requêtes côté serveur (SSRF), injection de code indirecte à distance (XSS), ainsi que d'autres risques non spécifiés par l'éditeur. Les produits touchés sont nombreux : Splunk Cloud Platform (plusieurs versions, de 9.3 à 10.4), Splunk Enterprise (versions 9.3, 9.4, 10.0 et 10.2), Splunk Secure Gateway (versions antérieures à 3.8.67, 3.9.x avant 3.9.20 et 3.10.x avant 3.10.6), et Splunk SOAR (versions antérieures à 8.5.0). Les correctifs sont à obtenir auprès de l'éditeur Splunk. Les références CVE associées incluent CVE-2025-12817, CVE-2025-12818, CVE-2025-47913, CVE-2025-47914, CVE-2025-58181, CVE-2025-61726 et CVE-2025-61731, entre autres.

Correctif pour LibreNMS

L'avis CERTFR-2026-AVI-0732, également diffusé le 11 juin 2026, porte sur l'outil de supervision réseau LibreNMS. Un bulletin de sécurité daté du 10 juin 2026 (GHSA-c9fv-cgmm-2wg7) signale des vulnérabilités multiples qui permettent l'exécution de code arbitraire à distance. Toutes les versions de LibreNMS allant de la 21.6.x jusqu'aux versions 26.x antérieures à la 26.5.0 sont concernées. La mise à jour vers la version 26.5.0 ou une version ultérieure est recommandée.

Procédure recommandée

Il est conseillé aux utilisateurs et aux administrateurs de ces solutions de consulter sans délai les bulletins de sécurité officiels des éditeurs et d'appliquer les mises à jour correspondantes.