2026年5月29日这一天,网络安全圈同时炸出了9个CVSS 9.9到10.0分的漏洞。
这不是某一个厂商翻了车,也不是某一个代码库里出了漏勺。
这是在同一个24小时内,BIOS固件、AI应用、服务器管理、应用部署平台、路由器固件------从硬件底层到应用层,全链路被扫了一遍。
什么概念
对消费者来说,这组新闻可能只是某一天的弹窗。
但如果你家里有一台路由器,你可能需要注意一下,毕竟这9个漏洞里,有一个,就在路由器上。
CVSS 10.0 意味着什么
意味着他不需要物理接触你的设备,不需要知道你的密码,甚至不需要你点什么链接、打开什么文件,攻击者就可以远程获得你的管理员权限。
举个例子:一台市售的路由器,攻击者发现它的HTTP接口在收到请求时,没有校验请求来源。这意味着发一个精心构造的请求过去,服务器直接交出管理员权限。同一台设备上,面向物联网设备的通信模块也被发现了命令注入漏洞,这意味着攻击者可以在路由器的底层系统上执行任意代码。
简单来说就是,满分漏洞=为所欲为。
路由器层面的为所欲为,那就代表着你连在路由器上的电脑、手机、智能音箱、摄像头,乃至你家空调温度数据,都将全部暴露。
而你在前台看到的,却是一切如常。
漏洞在涨,不是你的错觉
在2025年,全球新增漏洞披露数量是48,367个,同比增长20.79%。
其中高危加严重漏洞的合计占比超过三分之一。
而这其中 已经被黑客在实际攻击中使用的漏洞 , 从2024年底的1239个,增长到了2025年底的1484个。
以往年数据来看,这数字是上升的。
虽然这些不全是路由器漏洞。
但路由器在这个大盘里,占的比例不小,而且趋势不乐观。
Bleeping Computer在2026年初的报道中指出,与俄罗斯GRU关联的黑客组织专门扫描运行老旧固件的路由器,将其改造成中间人监听节点,拦截认证流量、窃取令牌。
现在攻击者手段变了,他们盯上的不是你的数据,是你的路由器本身。
当成千上万台被接管的路由器组成僵尸网络时,它们可以发起的攻击量级,有据可查。
如今一次DDoS攻击的成本被打到百元以内,这背后的弹药,很大一部分来自这些被无声接管的家用路由器。
那 路由器怎么就成了漏洞重灾区
把时间线拉回到十年前。
那时候的路由器还是个拨号上网,转发数据包,发WiFi信号的货色。甚至都没有HTTPS,确实没什么东西能攻击。
今天的路由器长什么样?
云管理平台、IoT网关,兼容Zigbee、蓝牙、Thread、MQTT消息代理,远程调试接口,给售后工程师用的,Mesh组网协议,多台路由器自行协商拓扑、自我修复。家长控制、QoS带宽分配、内置VPN、广告过滤......
这上面这些功能,哪一个不是一块攻击面?而这一块攻击面就是一个潜在的漏洞入口。
如今随便一台2026年上市的主流Wi-Fi 7路由器,内置的功能模块上,这些功能哪怕不全在,又能少几个?
当然,这并不是说功能本身不安全。
而是安全测试的投入,没有跟上功能膨胀的速度。
毕竟这功能越多,代码量就越大,这代码越多,漏洞就必然变多。
一个消费级路由器产品的研发周期,通常一年甚至更短。
芯片方案商提供参考代码,厂商在它上面做定制和UI,但要知道参考代码本身,是面向成本最优、功能最快上线来设计的。
安全,不是它的第一优先级。
这不是厂商在偷懒。
是这个品类,在这功能高速膨胀的轨道上,刹不住了。
时间差
从漏洞被发现 → 厂商修复 → 你更新固件。
这三步之间,每一段都有时差。
漏洞被发现的速度,快于厂商出补丁的速度。
一个漏洞从内部提交到公开CVE编号,需要多久?
厂商出了补丁之后,又要多久能传达到多少用户?
我知道这个答案各不相同,但厂商层面尚且如此。
在用户层面,你可以去问问身边朋友,有多少人手动升级过路由器固件?
我想答案大概率是零,可很多家用路由器甚至没有自动更新机制,必须要用户去手动升级...
最后一个问题
2026年截止到5月底,已经出现了两轮满分漏洞集中爆发。
下一次满分漏洞披露的时候,你会注意到它吗?
更重要的是,你还记得上一次漏洞你更新了没有。
漏洞曝得越来越快,补丁出得越来越慢。而你的路由器,正连着你的每一台设备。
数据来源:MITRE CVE公开数据库、360数字安全集团《2025年度网络安全漏洞分析报告》、CNVD国家信息安全漏洞共享平台、CISA已知漏洞利用目录(KEV)、Bleeping Computer 2026年1月报道、德国FKIE《路由器固件安全研究(2020)》、Shodan公开扫描数据。