文章总结： 大蚂蚁即时通讯系统存在任意文件上传漏洞，攻击者可利用file_info参数通过路径穿越符号绕过校验，将恶意文件上传至Web根目录，从而获取服务器控制权并窃取数据。该漏洞影响5.5.x及以上版本，无须用户权限。建议受影响用户尽快联系官方获取补丁或升级至最新安全版本。 综合评分： 86 文章分类： 漏洞预警,漏洞POC,漏洞分析,WEB安全

【已复现】| 大蚂蚁即时通讯系统存在两处任意文件上传漏洞

原创

wdgs wdgs

WDCIA

2026年2月4日 19:00 中国香港

内容仅用于学习交流自查使用，由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号WDCIA及作者不为此承担任何责任，一旦造成后果请自行承担！

00漏洞编号

XVE-2025-33159

01漏洞概述

#

该系统存在文件上传漏洞，漏洞源于系统 API 接口未对上传文件的类型及存储路径进行严格校验，攻击者可通过 file_info 参数允许通过 ../ 符号进行路径穿越，绕过预设的存储目录，将恶意文件直接写入 Web 根目录，从而获取服务器控制权限并窃取用户通信数据。

此漏洞无须用户权限，攻击者可通过该漏洞上传 Webshell，进而控制服务器并窃取用户通信数据，建议受影响用户尽快修复。

02漏洞影响范围

受影响的产品版本：

BigAnt 5.5.x 系列及以上版本

03漏洞复现

文件上传 访问

04漏洞预警

05修复建议

请联系大蚂蚁官方技术支持，获取针对该漏洞的专项修复补丁或升级至官方发布的最新安全版本。

也可自行下载补丁文件进行替换，下载地址：

https://www.bigant.cn/article/news/435.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：WDCIA wdgs wdgs《【已复现】| 大蚂蚁即时通讯系统存在两处任意文件上传漏洞》