az Apache NetBeans integrált fejlesztőkörnyezet frissítéseinek automatikus kézbesítési rendszerének két sérülékenységéről, amelyek lehetővé teszik a szerver által küldött frissítések és nbm-csomagok meghamisítását. A problémákat csendben megoldották a kiadásban .
(CVE-2019-17560) az SSL-tanúsítványok és gazdagépnevek ellenőrzésének hiánya okozza az adatok HTTPS-n keresztüli letöltése során, ami lehetővé teszi a letöltött adatok rejtett meghamisítását. (CVE-2019-17561) a letöltött frissítés hiányos ellenőrzéséhez kapcsolódik digitális aláírással, amely lehetővé teszi a támadó számára, hogy további kódot adjon az nbm-fájlokhoz anélkül, hogy veszélyeztetné a csomag integritását.
Forrás: opennet.ru