ประมาณสองช่องโหว่ในระบบการจัดส่งการอัปเดตอัตโนมัติสำหรับสภาพแวดล้อมการพัฒนาแบบรวมของ Apache NetBeans ซึ่งทำให้สามารถปลอมแปลงการอัปเดตและแพ็คเกจ nbm ที่ส่งโดยเซิร์ฟเวอร์ ปัญหาได้รับการแก้ไขอย่างเงียบๆ ในรุ่น .
(CVE-2019-17560) เกิดจากการขาดการตรวจสอบใบรับรอง SSL และชื่อโฮสต์เมื่อดาวน์โหลดข้อมูลผ่าน HTTPS ซึ่งทำให้สามารถปลอมแปลงข้อมูลที่ดาวน์โหลดอย่างแอบแฝงได้ (CVE-2019-17561) เชื่อมโยงกับการตรวจสอบการอัปเดตที่ดาวน์โหลดมาอย่างไม่สมบูรณ์โดยใช้ลายเซ็นดิจิทัล ซึ่งช่วยให้ผู้โจมตีสามารถเพิ่มโค้ดเพิ่มเติมลงในไฟล์ nbm โดยไม่กระทบต่อความสมบูรณ์ของแพ็คเกจ
ที่มา: opennet.ru