Apache NetBeans-ի ինտեգրված զարգացման միջավայրի համար թարմացումների ավտոմատ առաքման համակարգում երկու խոցելիության մասին, որոնք հնարավորություն են տալիս կեղծել սերվերի կողմից ուղարկված թարմացումները և nbm փաթեթները: Խնդիրները անաղմուկ շտկվեցին թողարկման մեջ .
(CVE-2019-17560) պայմանավորված է SSL վկայագրերի և հոսթների անունների չստուգմամբ HTTPS-ով տվյալներ ներբեռնելիս, ինչը հնարավորություն է տալիս գաղտնի կերպով կեղծել ներբեռնված տվյալները: (CVE-2019-17561) կապված է թվային ստորագրության միջոցով ներբեռնված թարմացման թերի ստուգման հետ, որը հարձակվողին թույլ է տալիս լրացուցիչ կոդ ավելացնել nbm ֆայլերին՝ առանց փաթեթի ամբողջականությունը խախտելու:
Source: opennet.ru
