OpenBao 2.5.x 分支存在可觸達的密碼學漏洞 (GO-2026-4550)，影響 PGP 金鑰加密/解密功能

在 OpenBao 專案的 `release/2.5.x` 分支中，發現一個可觸達的軟體漏洞，標示為 GO-2026-4550。此漏洞根源於專案所依賴的第三方密碼學函式庫 CIRCL（由 Cloudflare 維護），該函式庫在 secp384r1 橢圓曲線的 CombinedMult 運算中存在計算錯誤。

漏洞影響 OpenBao 中與 PGP 金鑰處理相關的核心功能。具體受影響的程式碼位置包括 `helper/pgpkeys/encrypt_decrypt.go` 檔案中的 `DecryptBytes` 與 `EncryptShares` 函式，以及 `vault/seal.go` 的初始化函式。這些函式負責金鑰份額的加密、解密及系統密封機制的初始化，意味著漏洞可能影響秘密的保護與恢復流程。

根據 govulncheck 工具的靜態分析結果，已確認 OpenBao 的原始碼中存在一條可執行的呼叫路徑能觸發此漏洞，並非僅是未使用的依賴項。漏洞的修復版本已存在於上游函式庫 CIRCL 的 v1.6.3。目前資訊顯示，此安全問題在 2026 年 3 月初仍存在於 OpenBao 的該發行分支中，需要專案維護者將依賴項升級至已修復的版本以消除風險。