sobre dos vulnerabilidades en el sistema de entrega automática de actualizaciones para el entorno de desarrollo integrado Apache NetBeans, que permiten falsificar actualizaciones y paquetes nbm enviados por el servidor. Los problemas se solucionaron silenciosamente en el lanzamiento. .
(CVE-2019-17560) se debe a la falta de verificación de los certificados SSL y los nombres de host al descargar datos a través de HTTPS, lo que hace posible falsificar subrepticiamente los datos descargados. (CVE-2019-17561) está asociado con una verificación incompleta de una actualización descargada con una firma digital, lo que permite a un atacante agregar código adicional a los archivos nbm sin comprometer la integridad del paquete.
Fuente: opennet.ru