حدود دو آسیبپذیری در سیستم تحویل خودکار بهروزرسانیها برای محیط توسعه یکپارچه Apache NetBeans که امکان جعل بهروزرسانیها و بستههای nbm ارسال شده توسط سرور را فراهم میکند. مشکلات در انتشار بی سر و صدا برطرف شد .
(CVE-2019-17560) به دلیل عدم تأیید گواهینامه های SSL و نام میزبان هنگام بارگیری داده ها از طریق HTTPS ایجاد می شود که امکان جعل مخفیانه داده های بارگیری شده را فراهم می کند. (CVE-2019-17561) با تأیید ناقص یک بهروزرسانی دانلود شده با استفاده از امضای دیجیتال همراه است، که به مهاجم اجازه میدهد بدون به خطر انداختن یکپارچگی بسته، کد اضافی را به فایلهای nbm اضافه کند.
منبع: opennet.ru