我中心持續關注國家信息安全漏洞發現與修復情況，截至2022年3月31日，國家信息安全漏洞庫（CNNVD）第一季度采集信息安全漏洞共5978個。接報漏洞53789個，其中信息技術產品漏洞（通用型漏洞）1124個，網絡信息系統漏洞（事件型漏洞）52665個。國家信息安全漏洞共享平臺（CNVD）第一季度采集信息安全漏洞共5576個，其中高危漏洞1896個，中危漏洞3761個，低危漏洞549個，上述漏洞中，可被利用來實施遠程網絡攻擊的漏洞有4117個。中心統計分析了2022年1-3月CNNVD發布的漏洞類型如下表所示，其中跨站腳本類漏洞所占比例最大，約為12.01%，其次是緩沖區溢出類漏洞，占本季度漏洞總數的11.01%，排在前五的還有輸入驗證錯誤、代碼問題與資源管理錯誤。

2022年第一季度漏洞類型統計表

根據漏洞的影響范圍、利用方式、攻擊后果等情況，從高到低可將其分為四個危害等級，即超危、高危、中危和低危級別。2022年第一季度漏洞危害等級分布如下圖所示，其中超危漏洞879條，占本季度漏洞總數的14.70%。

2022年第一季度漏洞危害等級分布圖

據CNNVD信息安全漏洞通報顯示，漏洞數量增長呈現上升趨勢，本季度還出現了多個危害極大、影響面極廣的重大安全漏洞，漏洞詳情如下。

1. Apache log4j代碼問題漏洞（CNNVD-202201-1425、CVE-2022-23307）等多個安全漏洞：成功利用上述漏洞的攻擊者可以在目標系統上執行惡意代碼。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影響。目前，Apache官方已經發布了新版本修復了漏洞。

   
   

2. Polkit 全漏洞（CNNVD-202201-2343、CVE-2021-4034）：成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權限。Polkit0.92-0.115版本均受此漏洞影響。目前，Polkit官方已發布新版本修復了漏洞。

   
   

3. Fortinet FortiWeb安 全 漏 洞 （CNNVD-202202-129 、CVE-2021-43073）：成功利用漏洞的攻擊者，可向目標設備發送特殊請求，從而遠程執行惡意代碼。FortiWeb 6.4.1 及其以下版本均受此漏洞影響。目前，Fortinet官方已發布新版本修復了漏洞。

   
   

4. 微軟多個安全漏洞：包括 Microsoft Hyper-V 權限許可和訪問控制問題漏洞（CNNVD-202201-787、CVE-2022-21901）、MicrosoftEdge代碼注入漏洞（CNNVD-202202-235、CVE-2022-23263）等 58 個漏洞。成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁。

   
   

5. Linux kernel安全漏洞（CNNVD-202203-522、CVE-2022-0847）：成功利用此漏洞的攻擊者，可提升本地用戶權限。Linux Kernel 5.8-5.16.11、5.8-5.15.25、5.8-5.10.102等版本均受此漏洞影響。目前，Linux官方已發布新版本修復了漏洞。

   
   

6. Redis 代碼注入漏洞（CNNVD-202202-1622、CVE-2022-0543）：成功利用此漏洞的攻擊者，可在目標服務器遠程執行惡意代碼,進而控制目標服務器。Redis 5.x 系列 5.0.14以下版本、Redis 6.x系列6.0.16以下版本、Redis 7.x 系列7.0-rc2以下版本均受漏洞影響。目前，Redis官方已發布新版本修復了漏洞。

中心收錄了2022年第一季度全球影響較大的公開處罰事件，處罰金額總計超過4億美元。其中，數據泄露與隱私侵犯是違反各國相關法律法規，受到經濟處罰的主要原因。典型事件摘取如下。

時間：1月

國家：法國

被處罰方：Facebook與谷歌

處罰事件：因違反歐盟的隱私保護法，未為用戶提供拒絕cookie跟蹤的選擇，法國數據保護監管機構國家信息與自由委員會(CNIL) 對Facebook和谷歌分別處以1.5億歐元（1.7億美元）和6000萬歐元（6800萬美元）的罰款

時間：1月

國家：美國

被處罰方：摩根士丹利

處罰事件：摩根士丹利以6000萬美元就此數據泄露訴訟達成和解，泄露的原因是淘汰的服務器等設備在售賣前未清除敏感信息

時間：1月

國家：美國

被處罰方：Accellion

處罰事件：企業內容防火墻提供商Accellion達成810萬美元的和解協議，以結束涉及其遺留文件共享服務（FTA）的數據泄露訴訟

時間：2月

國家：美國

被處罰方：Facebook

處罰事件：Facebook同意支付 9000 萬美元來解決已有十年之久的使用cookie追蹤用戶活動，侵犯隱私的案件

時間：3月

國家：愛爾蘭

被處罰方：Meta Platforms

處罰事件：愛爾蘭數據保護委員會（DPC）對Facebook和WhatsApp所有者Meta Platforms處以1700萬歐元（約合1860萬美元）的罰款，原因是該地區發生了一系列違反歐盟GDPR法律的安全漏洞

時間：3月

國家：美國

被處罰方：CafePress

處罰事件：CafePress因掩蓋2019年客戶信息泄露事件而被罰款50萬美元

時間：3月

國家：英國

被處罰方：West Sussex-based Domestic Support Ltd、Home Sure Solutions、Seaview Brokers、UK Platinum Home Care Services、UK Appliance Cover

處罰事件：英國數據監管機構對五家公司處以40.5萬英鎊的罰款，這5家公司以老年人為目標，通過電話偏好系統非法撥打了75萬個未經同意的營銷電話