circa due vulnerabilità nel sistema di consegna automatica degli aggiornamenti per l'ambiente di sviluppo integrato Apache NetBeans, che rendono possibile lo spoofing degli aggiornamenti e dei pacchetti nbm inviati dal server. I problemi sono stati risolti silenziosamente nel rilascio .
(CVE-2019-17560) è causato dalla mancata verifica dei certificati SSL e dei nomi host durante il download dei dati su HTTPS, il che rende possibile lo spoofing furtivo dei dati scaricati. (CVE-2019-17561) è associato alla verifica incompleta di un aggiornamento scaricato utilizzando una firma digitale, che consente a un utente malintenzionato di aggiungere codice aggiuntivo ai file nbm senza compromettere l'integrità del pacchetto.
Fonte: opennet.ru