o dwóch lukach w systemie automatycznego dostarczania aktualizacji dla zintegrowanego środowiska programistycznego Apache NetBeans, które umożliwiają fałszowanie aktualizacji i pakietów nbm wysyłanych przez serwer. Problemy zostały po cichu naprawione w wydaniu .
(CVE-2019-17560) jest spowodowane brakiem weryfikacji certyfikatów SSL i nazw hostów podczas pobierania danych przez HTTPS, co umożliwia ukryte fałszowanie pobranych danych. (CVE-2019-17561) wiąże się z niepełną weryfikacją pobranej aktualizacji przy użyciu podpisu cyfrowego, co umożliwia atakującemu dodanie dodatkowego kodu do plików nbm bez naruszenia integralności pakietu.
Źródło: opennet.ru