OpenBao (OpenTelemetry SDK) 2.4.x 分支存在可被利用的代码执行漏洞 (GO-2026-4394)

在 OpenBao 项目的 `release/2.4.x` 分支中，govulncheck 工具检测到一个严重的安全漏洞，编号为 GO-2026-4394。该漏洞存在于项目依赖的 OpenTelemetry Go SDK 中，具体为 `go.opentelemetry.io/otel/sdk` 包。漏洞本质是 PATH 劫持，可导致任意代码执行。该漏洞已在 OpenTelemetry Go SDK 的 v1.40.0 版本中被修复。

在 OpenBao 代码库中，受影响的文件位置广泛，涉及 PKI、命令行代理/服务器、诊断工具等多个核心模块。具体受影响的位置包括：`builtin/logical/pki/acme_errors.go` 中的 `TranslateErrorToErrorResponse` 函数；`builtin/logical/pkiext/pkiext_binary/pki_cluster.go` 中的 `AddNameToHostFiles` 函数；`command/agent.go` 和 `command/server.go` 中的 `Run` 函数；以及 `vault/diagnose/` 目录下多个文件中的诊断辅助函数，如 `Advise`、`Error`、`Finalize`、`New`、`StartSpan`、`Test` 和 `OnEnd` 等。

此漏洞的威胁在于，攻击者可能通过操纵系统的 PATH 环境变量，诱使应用程序执行恶意二进制文件而非预期的合法程序，从而在受影响系统上实现任意代码执行。鉴于 OpenBao 作为秘密管理和 PKI 工具的身份，此漏洞若被利用，可能危及由其管理的敏感密钥、证书和配置数据的安全。目前，OpenBao 的 `release/2.4.x` 分支仍在使用包含此漏洞的旧版 OpenTelemetry SDK。