à propos de deux vulnérabilités dans le système de livraison automatique des mises à jour de l'environnement de développement intégré Apache NetBeans, qui permettent d'usurper les mises à jour et les packages nbm envoyés par le serveur. Les problèmes ont été discrètement résolus dans la version .
(CVE-2019-17560) est dû à un manque de vérification des certificats SSL et des noms d'hôte lors du téléchargement de données via HTTPS, ce qui permet d'usurper subrepticement les données téléchargées. (CVE-2019-17561) est associé à une vérification incomplète d'une mise à jour téléchargée par rapport à une signature numérique, ce qui permet à un attaquant d'ajouter du code supplémentaire aux fichiers nbm sans compromettre l'intégrité du package.
Source: opennet.ru