文章总结： 文档披露大蚂蚁即时通讯系统plus_get_favicon接口存在高危任意文件上传漏洞，影响5.5.x至最新6.0.1版本。因鉴权缺失与后缀校验不当，攻击者可无需权限上传恶意文件。文章分析了漏洞成因，提供FOFA语法与POC，并给出官方补丁及临时缓解建议，强调企业需加强文件上传管控。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,漏洞POC

重要提醒：合法合规，切勿滥用漏洞

最后需特别强调，网络安全漏洞的挖掘与研究需在合法授权的前提下进行，利用此次大蚂蚁漏洞未经授权攻击他人服务器，上传恶意脚本控制计算机信息系统的行为，已触犯《网络安全法》《刑法》等相关法律法规，将面临罚款、有期徒刑等法律制裁。

• 随手点个「推荐」吧！

  

  声明：技术文章均收集于互联网，仅作为本人学习、记录使用。侵权删！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玄武盾网络技术实验室 xuzhiyang xuzhiyang《【漏洞复现】高风险预警！大蚂蚁 BigAnt 即时通讯系统曝任意文件上传漏洞》