安全预警:关于大蚂蚁 (BigAnt) 即时通讯系统存在任意文件上传漏洞的公告
发布日期: 2026年1月21日
风险等级: 高危 (Critical)
影响范围: BigAnt 5.5.x 及以上版本用户
1. 漏洞背景
近日,工信部网络安全威胁和漏洞信息共享平台 (NVDB) 监测到杭州九麒科技有限公司(大蚂蚁 BigAnt)即时通讯系统存在一个高危的前台任意文件上传漏洞。
该漏洞源于系统 API 接口未对上传文件的类型及存储路径进行严格校验。远程攻击者无需登录即可利用该漏洞上传恶意脚本文件(如 PHP 木马),从而获取服务器控制权限(WebShell),导致数据泄露或系统被完全控制。
2. 漏洞详情
漏洞类型: 任意文件上传 / 路径穿越
攻击矢量: 远程、无需认证
关键成因:
file_info参数允许通过../符号进行路径穿越,绕过预设的存储目录,将恶意文件直接写入 Web 根目录。
3. 影响版本
BigAnt 5.5.x 系列及以上所有版本。
4. 修复建议
为了保障您的企业信息安全,请受影响的用户立即执行以下操作:
A. 立即更新补丁
请联系大蚂蚁官方技术支持,获取针对该漏洞的专项修复补丁或升级至官方发布的最新安全版本。
也可自行下载补丁文件继续替换
上一篇:
热点:中国石油集团安全环保技术研究院布署大蚂蚁
下一篇:
没有了
