sobre duas vulnerabilidades no sistema de entrega automática de atualizações para o ambiente de desenvolvimento integrado Apache NetBeans, que possibilitam falsificar atualizações e pacotes nbm enviados pelo servidor. Os problemas foram resolvidos discretamente no lançamento .
(CVE-2019-17560) é causado pela falta de verificação de certificados SSL e nomes de host ao baixar dados por HTTPS, o que torna possível falsificar sub-repticiamente os dados baixados. (CVE-2019-17561) está associado à verificação incompleta de uma atualização baixada usando uma assinatura digital, que permite que um invasor adicione código adicional aos arquivos nbm sem comprometer a integridade do pacote.
Fonte: opennet.ru