2026-02-04 17:44:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 大蚂蚁即时通讯系统存在任意文件上传漏洞，源于API接口未严格校验文件类型及存储路径，攻击者可通过路径穿越将恶意文件写入Web根目录获取服务器权限。影响版本5.5.0至6.0.1，官方已发布补丁，建议尽快更新并采取临时缓解措施如限制互联网暴露和拦截恶意请求。 综合评分： 75 文章分类： 漏洞预警,漏洞分析,解决方案,网络安全,安全运营

cover_image

已复现！大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞

原创

微步情报局微步情报局

微步在线研究响应中心

2026年2月4日 09:59 湖北

漏洞概况

大蚂蚁即时通讯系统是为企业提供实时消息传递、文件共享和团队协作的一体化通信平台。

近日，大蚂蚁即时通讯官方发布通告，修复了大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞。微步情报局已成功复现。经分析，该系统存在文件上传漏洞，漏洞源于系统 API 接口未对上传文件的类型及存储路径进行严格校验，攻击者可通过 file_info 参数允许通过 ../ 符号进行路径穿越，绕过预设的存储目录，将恶意文件直接写入 Web 根目录，从而获取服务器控制权限并窃取用户通信数据。（完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2025-33159）

此漏洞无须用户权限，攻击者可通过该漏洞上传 Webshell，进而控制服务器并窃取用户通信数据，建议受影响用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级：高风险

漏洞影响范围

漏洞复现

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载： https://www.bigant.cn/article/news/435.html

临时缓解措施

1、如非必要，避免将资产暴露在互联网

2、使用防护类设备进行防护，限制访问/index.php/***路径（完整路径通过漏洞情报查询），拦截file_info参数中包含”../”等路径穿越字符和恶意php语句的请求

微步产品支撑

微步漏洞情报于2025-09-09收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已于漏洞收录时向漏洞订阅用户推送该漏洞情报，并将持续推送后续更新；对于已经录入资产的用户，支持实时自动化排查受影响资产。

微步威胁感知平台TDP于2025-09-17已支持检测，检测ID：S3100168160 ，模型/规则高于：20250917000000 可检出

微步威胁防御系统OneSIG已支持防护规则ID为：3100121923

#

END –

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

活动详情：https://x.threatbook.com/v5/vulReward

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心微步情报局微步情报局《已复现！大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞》