•  Apache Superset多处安全漏洞综合报告
Comprehensive Report on Multiple Security Vulnerabilities in Apache Superset

本报告汇总了近期在Apache Superset中发现的一系列关键安全漏洞，涉及不适当的授权策略以及对特定PostgreSQL函数处理不当的问题。这些问题可能允许具有较低权限的用户创建新角色，通过SQLLab实现未经授权的数据修改，同时泄露敏感的元数据信息。强烈推荐使用Apache Superset的组织立即升级至4.1.0版本，以便及时修补上述提及的安全隐患。

•  VelLMes-AI-Honeypot：一款大语言模型LLM的蜜罐工具 - FreeBuf网络安全行业门户
VelLMes-AI-Honeypot: An Intelligent Honeypot System Based on Large Language Models

本文介绍了VelLMes-AI-Honeypot，一款利用大型语言模型(LLM)构建的高度互动及仿真的蜜罐工具，能有效吸引并迷惑入侵者，延长其停留时间，进而提升情报搜集效率。

•  Ultralytics供应链污染：加密货币挖矿木马潜伏
Supply Chain Corruption in Ultralytics: Crypto-Mining Trojan Lurking

近期，Ultralytics的Python库遭受了一系列复杂的供应链攻击，黑客通过操纵PyPI上的8.3.41和8.3.42版本，植入了专用于加密货币挖掘的恶意代码。这些版本中的恶意软件源自Monero采矿工具Xmrig的一个变体，能够通过Base64编码隐藏于包内部，在特定条件下的脚本运行时激活，然后连接到矿池开始挖矿进程。这次攻击影响广泛，涉及全球数百万用户，消耗他们的计算资源进行非法挖矿活动，同时也对个人数据安全构成了潜在风险。

•  DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析 - 先知社区
Analysis and Exploitation of Deserialization Vulnerability in WordPress Plugin

本文深入剖析了一个与WordPress插件相关的远程代码执行（RCE）安全漏洞。作者详细描述了如何从初步线索开始逐步锁定并利用反序列化的弱点，展示了高超的技术洞察力和技术能力。

•  秘密暴风雪：俄罗斯黑客操控风暴-0156执行南亚网络间谍行动
Secret Blizzard: Russian Hackers Hijack Storm-0156 for Cyber Espionage in South Asia

隶属俄罗斯联邦安全局的秘密暴风雪黑客团体近期采取了一系列复杂操作，他们控制了另一个高级持续性威胁集团风暴-0156的网络结构，以此为基础对南亚地区关键目标进行了深入的情报收集工作。此行动显示出了国家级黑客之间错综复杂的互动关系，同时突显出秘密暴风雪如何精妙地利用敌手资源来加强自身的网络作战能力。

•  利用Spring Boot 3.4.0属性实现远程代码执行的两种新方法
Remote Code Execution with Spring Boot 3.4.0 Properties | Snyk

本文深入探讨了Spring Boot框架中的远程代码执行漏洞，作者通过分析和实验发现了两种利用Spring属性实现RCE的新途径。文章不仅详细介绍了技术细节，还提供了实际的配置示例，对于网络安全研究人员和技术爱好者来说是一份宝贵的资源。

•  Trail of Bits对RubyGems.org的安全评估与竞争分析报告
Auditing the Ruby ecosystem’s central package repository

本文深入分析了Trail of Bits对RubyGems.org的安全评估，揭示了一系列关键安全问题，并提出了详细的修复建议。其中最突出的是关于SMTP邮件系统高严重性漏洞的发现与解决方案，以及针对基础设施配置和权限管理等方面的全面改进措施。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号：腾讯玄武实验室