我中心持续关注国家信息安全漏洞发现与修复情况，截至2022年3月31日，国家信息安全漏洞库（CNNVD）第一季度采集信息安全漏洞共5978个。接报漏洞53789个，其中信息技术产品漏洞（通用型漏洞）1124个，网络信息系统漏洞（事件型漏洞）52665个。国家信息安全漏洞共享平台（CNVD）第一季度采集信息安全漏洞共5576个，其中高危漏洞1896个，中危漏洞3761个，低危漏洞549个，上述漏洞中，可被利用来实施远程网络攻击的漏洞有4117个。中心统计分析了2022年1-3月CNNVD发布的漏洞类型如下表所示，其中跨站脚本类漏洞所占比例最大，约为12.01%，其次是缓冲区溢出类漏洞，占本季度漏洞总数的11.01%，排在前五的还有输入验证错误、代码问题与资源管理错误。

2022年第一季度漏洞类型统计表

根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危和低危级别。2022年第一季度漏洞危害等级分布如下图所示，其中超危漏洞879条，占本季度漏洞总数的14.70%。

2022年第一季度漏洞危害等级分布图

据CNNVD信息安全漏洞通报显示，漏洞数量增长呈现上升趋势，本季度还出现了多个危害极大、影响面极广的重大安全漏洞，漏洞详情如下。

1. Apache log4j代码问题漏洞（CNNVD-202201-1425、CVE-2022-23307）等多个安全漏洞：成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前，Apache官方已经发布了新版本修复了漏洞。

   
   

2. Polkit 全漏洞（CNNVD-202201-2343、CVE-2021-4034）：成功利用此漏洞的攻击者，可在默认配置下提升本地用户权限。Polkit0.92-0.115版本均受此漏洞影响。目前，Polkit官方已发布新版本修复了漏洞。

   
   

3. Fortinet FortiWeb安 全 漏 洞 （CNNVD-202202-129 、CVE-2021-43073）：成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiWeb 6.4.1 及其以下版本均受此漏洞影响。目前，Fortinet官方已发布新版本修复了漏洞。

   
   

4. 微软多个安全漏洞：包括 Microsoft Hyper-V 权限许可和访问控制问题漏洞（CNNVD-202201-787、CVE-2022-21901）、MicrosoftEdge代码注入漏洞（CNNVD-202202-235、CVE-2022-23263）等 58 个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁。

   
   

5. Linux kernel安全漏洞（CNNVD-202203-522、CVE-2022-0847）：成功利用此漏洞的攻击者，可提升本地用户权限。Linux Kernel 5.8-5.16.11、5.8-5.15.25、5.8-5.10.102等版本均受此漏洞影响。目前，Linux官方已发布新版本修复了漏洞。

   
   

6. Redis 代码注入漏洞（CNNVD-202202-1622、CVE-2022-0543）：成功利用此漏洞的攻击者，可在目标服务器远程执行恶意代码,进而控制目标服务器。Redis 5.x 系列 5.0.14以下版本、Redis 6.x系列6.0.16以下版本、Redis 7.x 系列7.0-rc2以下版本均受漏洞影响。目前，Redis官方已发布新版本修复了漏洞。

中心收录了2022年第一季度全球影响较大的公开处罚事件，处罚金额总计超过4亿美元。其中，数据泄露与隐私侵犯是违反各国相关法律法规，受到经济处罚的主要原因。典型事件摘取如下。

时间：1月

国家：法国

被处罚方：Facebook与谷歌

处罚事件：因违反欧盟的隐私保护法，未为用户提供拒绝cookie跟踪的选择，法国数据保护监管机构国家信息与自由委员会(CNIL) 对Facebook和谷歌分别处以1.5亿欧元（1.7亿美元）和6000万欧元（6800万美元）的罚款

时间：1月

国家：美国

被处罚方：摩根士丹利

处罚事件：摩根士丹利以6000万美元就此数据泄露诉讼达成和解，泄露的原因是淘汰的服务器等设备在售卖前未清除敏感信息

时间：1月

国家：美国

被处罚方：Accellion

处罚事件：企业内容防火墙提供商Accellion达成810万美元的和解协议，以结束涉及其遗留文件共享服务（FTA）的数据泄露诉讼

时间：2月

国家：美国

被处罚方：Facebook

处罚事件：Facebook同意支付 9000 万美元来解决已有十年之久的使用cookie追踪用户活动，侵犯隐私的案件

时间：3月

国家：爱尔兰

被处罚方：Meta Platforms

处罚事件：爱尔兰数据保护委员会（DPC）对Facebook和WhatsApp所有者Meta Platforms处以1700万欧元（约合1860万美元）的罚款，原因是该地区发生了一系列违反欧盟GDPR法律的安全漏洞

时间：3月

国家：美国

被处罚方：CafePress

处罚事件：CafePress因掩盖2019年客户信息泄露事件而被罚款50万美元

时间：3月

国家：英国

被处罚方：West Sussex-based Domestic Support Ltd、Home Sure Solutions、Seaview Brokers、UK Platinum Home Care Services、UK Appliance Cover

处罚事件：英国数据监管机构对五家公司处以40.5万英镑的罚款，这5家公司以老年人为目标，通过电话偏好系统非法拨打了75万个未经同意的营销电话