## OpenBao Secrets Operator 漏洞：日志文件泄露 HTTP 基本认证凭据 (GO-2024-2947)
在 OpenBao Secrets Operator 的 `main` 分支中发现一个已确认可被利用的安全漏洞。该漏洞被标识为 GO-2024-2947，影响 `github.com/hashicorp/go-retryablehttp` 库。漏洞核心问题在于，当向日志文件写入信息时，URL 未经过净化处理。这可能导致敏感的 HTTP 基本认证凭据被明文写入日志文件，从而造成信息泄露。受影响的代码位置位于 `internal/vault/client.go` 文件的第 515 行，具体在 `Write` 函数中。官方已在 v0.7.7 版本中修复此漏洞。govulncheck 工具已确认，在 openbao/openbao-secrets-operator 的源代码中存在一条可达的调用路径通向此漏洞。此发现强调了在日志记录过程中对敏感数据进行严格净化的必要性，尤其是在处理包含认证信息的 HTTP 请求时。
---
- **Source**: 
- **Sector**: The Network
- **Tags**: openbao secrets operator, go-retryablehttp, http 基本认证, 信息泄露
- **Credibility**: unverified
- **Published**: 2026-03-05 12:13:11
- **ID**: 1893
- **URL**: https://whisperx.ai/zh/intel/1893