## OpenBao 2.4.x 分支曝高危漏洞 GO-2026-4394：OpenTelemetry SDK 存在任意代码执行风险
OpenBao 项目的 `release/2.4.x` 分支中，一个被标记为“可被利用”的高危安全漏洞已被自动化工具 govulncheck 检出。该漏洞源于项目依赖的 OpenTelemetry Go SDK，其核心风险在于可能通过 PATH 环境变量劫持，导致任意代码执行。此漏洞在 OpenTelemetry SDK 的 v1.40.0 版本中已得到修复，但当前 OpenBao 分支仍在使用存在缺陷的旧版本。

漏洞 ID 为 GO-2026-4394，直接影响了 OpenBao 代码库中的多个关键位置。受影响的文件与函数范围广泛，涉及 PKI 证书管理、集群操作、代理与服务器启动命令，以及诊断工具的核心逻辑。具体受影响的代码路径包括 `builtin/logical/pki/acme_errors.go` 中的 `TranslateErrorToErrorResponse` 函数、`command/agent.go` 中的 `Run` 函数，以及 `vault/diagnose/` 目录下多个诊断辅助函数。这些位置均调用了存在缺陷的 SDK 组件，为潜在的攻击路径打开了入口。

此发现将 OpenBao 维护团队置于立即行动的压力之下。虽然漏洞本身存在于上游依赖，但 OpenBao 作为下游集成方，其 `release/2.4.x` 稳定分支的持续使用构成了直接的安全暴露。项目需要紧急评估升级依赖至安全版本（v1.40.0 或更高）的可行性，并通知所有基于该分支进行开发或部署的用户。对于依赖 OpenBao 进行密钥管理、身份认证或提供 PKI 服务的系统，此漏洞构成了供应链安全风险，可能被利用来提升权限或破坏系统完整性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: cybersecurity, vulnerability, supply-chain, open-source, golang
- **Credibility**: unverified
- **Published**: 2026-03-30 02:27:03
- **ID**: 40294
- **URL**: https://whisperx.ai/en/intel/40294