## OpenBao 2.4.x 分支发现可被利用的加密漏洞 GO-2026-4550
OpenBao 项目的一个长期支持分支中，发现了一个可被利用的加密漏洞，直接威胁到其核心的密钥管理功能。安全扫描工具 govulncheck 在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中，确认了编号为 GO-2026-4550 的漏洞是“可触达的”。这意味着攻击者有可能通过特定路径触发该漏洞，从而影响系统的加密操作。该漏洞源于两个关键的底层依赖库：`github.com/ProtonMail/go-crypto@v1.3.0` 和 `github.com/cloudflare/circl@v1.6.1`。

具体而言，漏洞存在于 Cloudflare 的 CIRCL 密码学库中，涉及 secp384r1 椭圆曲线的 CombinedMult 函数存在计算错误。这一底层缺陷直接波及了 OpenBao 中负责 PGP 密钥加密和解密的核心模块。受影响的代码位置非常关键，主要集中在 `helper/pgpkeys/encrypt_decrypt.go` 文件中的 `DecryptBytes` 和 `EncryptShares` 函数，以及初始化密钥管理系统的 `vault/seal.go:23` 的 `init` 函数。这些函数是处理秘密共享和加密数据的基础，漏洞的存在意味着在特定条件下，加密操作的完整性和正确性可能无法得到保证。

对于依赖 OpenBao 2.4.x 版本进行秘密管理和数据保护的用户与组织而言，这是一个需要立即关注的安全风险。虽然漏洞的修复版本（CIRCL v1.6.3）已经存在，但关键在于需要将修复同步到 OpenBao 的代码库中并发布更新。在官方补丁发布之前，运行此版本的系统其加密屏障存在已知的理论弱点，可能成为潜在攻击的切入点。维护团队需要评估其部署环境，并密切关注上游仓库的修复与合并状态。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, 密码学, 开源软件, 密钥管理, 供应链安全
- **Credibility**: unverified
- **Published**: 2026-03-31 12:27:44
- **ID**: 43202
- **URL**: https://whisperx.ai/en/intel/43202