## OpenBao 2.4.x 分支发现关键 gRPC 授权绕过漏洞 (GO-2026-4762)
OpenBao 项目的一个长期支持版本中，发现了一个可被利用的、高风险的授权绕过漏洞。安全扫描工具 govulncheck 确认，在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中，存在一条可达的调用路径，直通一个已知的 gRPC-Go 安全缺陷。该漏洞源于 `google.golang.org/grpc` 库中 `:path` 头部缺少前导斜杠，攻击者可利用此缺陷绕过服务端的授权检查。

该漏洞涉及多个核心依赖，包括 `github.com/hashicorp/go-plugin@v1.7.0`、`github.com/oklog/run@v1.1.0`、`golang.org/x/net@v0.47.0` 以及有问题的 `google.golang.org/grpc@v1.77.0`。受影响的代码位置直接关联到 OpenBao 的关键功能模块：代理运行 (`command/agent.go:794`)、请求转发处理 (`vault/request_forwarding.go:166-167`) 以及核心测试逻辑 (`vault/testing.go:1820`)。这些路径的可达性意味着漏洞在特定配置下可能被实际触发。

对于依赖 OpenBao 2.4.x 分支进行生产部署或开发的团队而言，此发现构成了直接的安全压力。虽然修复版本 `google.golang.org/grpc@v1.79.3` 已经发布，但漏洞在开源项目稳定分支中的存在，凸显了供应链安全维护的滞后风险。这要求相关维护者立即评估影响范围，并协调依赖升级，以防止潜在的未授权访问风险。该事件也再次提醒，对看似稳定的 LTS 分支进行持续的安全依赖扫描至关重要。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, 授权绕过, gRPC, 供应链安全, Go语言
- **Credibility**: unverified
- **Published**: 2026-04-01 04:27:05
- **ID**: 44590
- **URL**: https://whisperx.ai/en/intel/44590