文章总结： 本文分析了大蚂蚁即时通讯系统的任意文件上传漏洞。攻击者利用API接口对file_info参数校验缺失，通过../符号实现路径穿越，将恶意文件写入Web根目录获取服务器控制权。建议立即应用官方补丁，或采取网络隔离、限制特定路径访问及WAF拦截等临时措施进行防护。 综合评分： 91 文章分类： 漏洞分析,漏洞POC,漏洞预警,WEB安全,应急响应

大蚂蚁（BigAnt）即时通讯系统文件上传分析

原创

皓月安全 皓月安全

皓月安全

2026年2月5日 21:47 四川

近日，大蚂蚁（BigAnt）即时通讯系统被曝出严重的任意文件上传漏洞。该系统作为企业级实时沟通与协作平台，广泛应用于各类企业的内部通信、文件共享场景，漏洞一旦被不法分子利用，攻击者可直接写入恶意文件窃取通信数据、掌控服务器，对企业信息安全造成致命威胁。

漏洞核心危害

大蚂蚁即时通讯系统的 API 接口存在严重设计缺陷，对上传文件的类型校验和存储路径缺乏严格管控：

攻击者可通过file_info参数中的../符号实现路径穿越，绕过系统预设的存储目录限制；

恶意文件可直接写入 Web 根目录，无需复杂绕过即可执行，最终获取服务器完全控制权；

企业内部的实时通信数据、文件共享内容、员工信息等核心资产面临被窃取风险，严重者可能导致业务瘫痪。

漏洞原理深度解析

1. 关键代码对比

存在漏洞的原始代码

原始代码未对文件后缀和路径进行任何有效校验，直接将file_info参数中的file_path拼接到存储路径，导致漏洞产生：

官方修复后代码

修复方案新增双重防护机制，从根源阻断漏洞利用：

黑名单校验：拦截php、phtm、php3、php7等恶意文件后缀；

路径过滤：检测到../等路径穿越字符直接返回错误；

2. 漏洞利用演示

攻击者可通过构造恶意请求包，将伪装成图片的 PHP 恶意文件上传至服务器根目录：

访问上传地址

紧急修复与防护建议

1. 官方修复方案（优先推荐）

官方已发布漏洞修复补丁，受影响用户请立即访问以下链接下载更新：

https://www.bigant.cn/article/news/435.html

2. 临时缓解措施

若暂时无法完成更新，可采取以下应急防护策略：

网络隔离：非必要情况下，避免将大蚂蚁系统暴露在公网环境，仅允许内部可信 IP 访问；

访问控制：通过防护设备限制/index.php/Api/DispersedAddin/upload_file路径的访问权限；

流量拦截：配置 WAF 规则，拦截file_info参数中包含../路径穿越字符及恶意 PHP 后缀的请求。

风险提示

由于传播、利用本文章所提供的漏洞信息及相关 POC 脚本而造成的任何直接或间接后果及损失，均由使用者本人负责。公众号及作者不为此承担任何责任，一旦造成后果请自行承担！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：皓月安全 皓月安全 皓月安全《大蚂蚁（BigAnt）即时通讯系统文件上传分析》