OpenBao Plugins 主分支中发现可触达的密码学漏洞 GO-2026-4550 (CIRCL 库 secp384r1 计算错误)

在 OpenBao 插件仓库的主分支中发现一个可触达的 Go 语言安全漏洞。该漏洞被标识为 GO-2026-4550，存在于 Cloudflare 的 CIRCL 密码学库中，具体涉及 secp384r1 椭圆曲线的 CombinedMult 函数存在错误计算。govulncheck 工具已确认，在 openbao/openbao-plugins 仓库的源代码中存在可触达的调用路径指向此漏洞。受影响的代码位置包括 internal/logical/testing.go 文件的第 202 行（Test 函数）和第 24 行（init 函数）。此漏洞已在 CIRCL 库的 v1.6.3 版本中得到修复。该发现表明，依赖此版本的 OpenBao 插件可能面临密码学操作不正确的风险，可能影响其安全功能。