## OpenBao 2.4.x 分支发现关键 gRPC 授权绕过漏洞 (GO-2026-4762)，影响核心转发与代理功能
OpenBao 项目的 2.4.x 发布分支中，一个被标记为“可达”的关键安全漏洞已被自动化工具 govulncheck 确认。该漏洞源于上游依赖库 `google.golang.org/grpc` 中的一个授权绕过缺陷，攻击者可利用 gRPC 请求路径中缺失前导斜杠来绕过授权检查。漏洞编号为 GO-2026-4762，其影响直接触及 OpenBao 的核心通信与请求处理机制。

漏洞影响多个关键代码位置，包括负责代理运行的 `command/agent.go:794` 中的 `Run` 函数，以及处理集群内请求转发的核心逻辑 `vault/request_forwarding.go` 中的 `Handoff` 函数。这些位置表明，漏洞可能影响 OpenBao 的代理（Agent）模式、集群节点间的安全通信以及核心服务的启停过程。受影响的依赖项版本包括 `github.com/hashicorp/go-plugin@v1.7.0`、`golang.org/x/net@v0.47.0` 和存在问题的 `google.golang.org/grpc@v1.77.0`。该漏洞已在 gRPC-Go 的 v1.79.3 版本中得到修复。

对于使用 OpenBao 作为秘密管理或身份服务基础架构的团队而言，此漏洞构成了直接风险。由于漏洞路径在代码中被标记为“可达”，意味着攻击面真实存在，可能被利用来未经授权访问或操纵本应受保护的内部通信。这为依赖 OpenBao 构建安全边界的系统带来了潜在威胁，尤其是在多节点集群或使用了代理架构的环境中。维护者需尽快评估升级路径，将受影响的 gRPC 依赖更新至安全版本。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, gRPC, 授权绕过, 开源安全, 基础设施安全
- **Credibility**: unverified
- **Published**: 2026-03-31 12:27:43
- **ID**: 43201
- **URL**: https://whisperx.ai/en/intel/43201