về hai lỗ hổng trong hệ thống tự động phân phối các bản cập nhật cho môi trường phát triển tích hợp Apache NetBeans, khiến nó có thể giả mạo các bản cập nhật và gói nbm do máy chủ gửi. Các vấn đề đã được âm thầm khắc phục trong bản phát hành .
(CVE-2019-17560) là do thiếu xác minh chứng chỉ SSL và tên máy chủ khi tải xuống dữ liệu qua HTTPS, điều này có thể lén lút giả mạo dữ liệu đã tải xuống. (CVE-2019-17561) có liên quan đến việc xác minh chưa đầy đủ bản cập nhật đã tải xuống bằng chữ ký điện tử, điều này cho phép kẻ tấn công thêm mã bổ sung vào tệp nbm mà không ảnh hưởng đến tính toàn vẹn của gói.
Nguồn: opennet.ru