PT-2020-4106 · Apache · Apache Netbeans
Filip Ceglik
·
Publicado
2020-03-30
·
Atualizado
2023-01-27
·
CVE-2019-17560
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Apache NetBeans até a 11.2, inclusive
Descrição:
O problema está relacionado ao sistema de atualização automática do Apache NetBeans, que não valida certificados SSL e nomes de host para downloads baseados em HTTPS. Isso permite que um invasor intercepte downloads de atualizações automáticas e modifique o arquivo baixado, podendo injetar código malicioso. A vulnerabilidade pode comprometer a confidencialidade e a integridade das informações protegidas.
Recomendações:
Para versões do Apache NetBeans até e incluindo a 11.2, considere desativar o recurso de atualização automática até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao sistema de atualização automática para minimizar o risco de injeção de código malicioso. Evite usar o sistema de atualização automática para downloads baseados em https até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Netbeans