文章总结： 大蚂蚁即时通讯系统存在前台任意文件上传漏洞，源于API接口未严格校验文件类型及存储路径，攻击者可利用路径穿越将恶意脚本写入Web根目录实现远程代码执行。影响5.5.x及以上版本，官方已发布补丁，建议立即升级或采取临时缓解措施。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,安全运营

【已复现】大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞

长亭安全应急响应中心

2026年2月4日 16:17 北京

大蚂蚁 (BigAnt) 是杭州九麒科技有限公司开发的即时通讯系统，广泛应用于企业内部沟通、文件共享和协同办公。

2026年1月，长亭安全应急响应中心监测到大蚂蚁即时通讯系统发布补丁修复了一处前台任意文件上传漏洞。未经身份验证的攻击者可利用该漏洞上传恶意脚本文件，获取服务器控制权限，利用难度较低，建议受影响的用户尽快修复。

漏洞描述

Description

01

漏洞成因

该漏洞源于系统 API 接口未对上传文件的类型及存储路径进行严格校验。file_info 参数允许通过 ../ 符号进行路径穿越，绕过预设的存储目录，将恶意文件直接写入 Web 根目录。远程攻击者无需登录即可利用该漏洞上传恶意脚本文件（如 PHP 木马），从而获取服务器控制权限。

漏洞影响

攻击者可在服务器上执行任意代码，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

处置优先级：高

漏洞类型：远程代码执行

漏洞危害等级：高

触发方式：网络远程

权限认证要求：无需权限

系统配置要求：默认配置

用户交互要求：无需用户交互

利用成熟度：POC/EXP 未公开

修复复杂度：低，官方已提供修复方案

影响版本

Affects

02

BigAnt 5.5.x 系列及以上版本

解决方案

Solution

03

#

升级修复方案

请联系大蚂蚁官方技术支持，获取针对该漏洞的专项修复补丁或升级至官方发布的最新安全版本。

也可自行下载补丁文件进行替换，下载地址：

https://www.bigant.cn/article/news/435.html

**临时缓解方案 1. 临时禁用文件上传功能或相关 API 接口。 2. 在 Web 应用防火墙 (WAF) 中配置规则，过滤包含 ../ 等路径穿越字符的请求。 3. 严格限制上传目录的执行权限，防止上传的脚本文件被执行。 *漏洞复现* Reproduction 04 产品支持 Support 05 云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC检测 洞鉴：默认支持该产品的指纹识别，预计2026.02.04支持该漏洞的自定义PoC 无锋：默认支持该产品的指纹识别，预计2026.02.04支持该漏洞的PoC检测 全悉：默认支持检测 雷池：默认支持检测 时间线 Timeline 06 2026年2月4日 长亭安全应急响应中心发布通告** 参考资料： [1].https://www.bigant.cn/article/news/435.html

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全应急响应中心 《【已复现】大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞》