宏碁Connect W6x路由器用户，立刻升级！

近日，宏碁针对旗下家用无线路由器Connect W6x 系列发布了一份紧急固件更新。独立安全研究人员发现，该平台存在一组极其危险的漏洞，其中两个被评为CVSS 10.0 满分——这意味着攻击者无需任何前置条件，就能远程突破路由器防线，甚至完全控制你的设备。

宏碁强烈建议所有受影响用户立即安装最新补丁，否则你的家庭网络可能面临被远程入侵、敏感数据泄露的风险。

两大“满分漏洞”深度拆解

CVE-2026-49197：认证绕过，管理员权限直接沦陷

第一个漏洞直击路由器的应用网关。问题根源在于设备对 HTTP 请求协议的处理存在严重缺陷——具体来说，针对宏碁 Connect 应用程序接口的Authorization 头部校验不严。攻击者可以精心构造畸形的 HTTP 请求，绕过身份验证关卡，直接以管理员身份登录后台。

一旦得手，黑客就能随意修改路由器的 DNS 设置、防火墙规则，甚至将你的网络流量转向恶意站点。

CVE-2026-49199：MQTT管道命令注入，系统完全失控

第二个漏洞藏身于路由器的MQTT 消息代理中。MQTT 常用于物联网设备间的轻量通信，但这里的消息处理逻辑缺少严格的负载清洗。远程攻击者通过发送特制的 MQTT 消息，可以注入并执行任意系统命令。

这远比认证绕过更可怕——命令注入意味着攻击者能直接在路由器底层运行脚本、安装后门、横向攻击内网其他设备。两个漏洞均获得 CVSS 10.0 的满分评级，危险程度不言而喻。

同时修补的三个高危问题

除了上述两个致命漏洞，本次固件还修复了另外三个高危级别的安全隐患：

• 调试接口暴露：锁定了 9000 端口上的调试服务，防止未经授权的本地交互。

• Wi-Fi 阻断功能注入风险：强化了该功能的输入过滤，避免恶意参数引发异常。

• MQTT 通配符订阅泛滥：限制了消息队列中的通配符使用范围，防止攻击者越权监听其他设备的通信内容。

这些漏洞虽然评分稍低，但组合利用同样能造成隐私泄露或网络瘫痪。

用户必做：立即按以下步骤升级固件

为了保护你的家庭网络安全，请立刻执行以下操作：

1. 用网线或 Wi-Fi 连接路由器，电脑或手机访问 192.168.76.1（宏碁 Connect W6x 系列默认管理地址）。

2. 输入管理员账号密码登录后台。

3. 找到「系统更新」或「固件升级」选项卡。

4. 点击 「检查更新」，系统会自动检测并提示升级到W6x_GBL_2.00.000008或更高版本。

5. 等待升级完成（期间切勿断电），路由器会自动重启。

✅ 建议升级后再次确认固件版本号，确保补丁已生效。

本次漏洞利用门槛极低、危害极大，且已有安全研究人员公开了技术细节。如果您的路由器是宏碁 Connect W6x 系列，请不要抱有“再等等”的侥幸心理。几分钟的升级操作，就能堵上两个满分漏洞和三处高危后门。

立即分享给身边使用宏碁路由器的朋友，避免他们成为黑客的“下一个目标”。

资讯来源：Acer 官方安全公告、公开漏洞数据库（CVE-2026-49197 / CVE-2026-49199）及第三方安全研究机构披露。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！