OpenBao 2.4.x 分支曝高危漏洞 GO-2026-4394：OpenTelemetry SDK 存在任意代码执行风险

OpenBao 项目的 `release/2.4.x` 分支代码中，发现一处由上游依赖引入的高危安全漏洞（GO-2026-4394）。该漏洞源于 Go 语言的 OpenTelemetry SDK（go.opentelemetry.io/otel/sdk），存在通过 PATH 环境变量劫持实现任意代码执行的风险。安全扫描工具 govulncheck 已标记此漏洞在代码库中为“可触达”（REACHABLE）状态，表明攻击路径存在。

漏洞直接影响 OpenBao 的多个核心功能模块。受影响的代码位置包括 PKI 证书管理（`acme_errors.go`, `pki_cluster.go`）、服务端与代理端主程序（`agent.go`, `server.go`）以及诊断工具（`diagnose/helpers.go`）中的关键函数。这些函数在执行过程中可能调用外部命令，若系统 PATH 被恶意篡改，攻击者可能诱导程序加载并执行恶意二进制文件，从而完全控制服务器。根据上游公告，该漏洞已在 OpenTelemetry Go SDK 的 v1.40.0 版本中得到修复。

此发现对使用 OpenBao 2.4.x 分支进行开发或部署的用户构成了直接的安全威胁。由于漏洞位于广泛使用的可观测性框架中，且影响面覆盖了服务启动、集群管理和错误处理等多个环节，修复的紧迫性很高。项目维护团队需要尽快将依赖升级至安全版本，或评估临时缓解措施。对于下游用户而言，这再次凸显了持续监控第三方依赖链安全状况的必要性，尤其是在涉及密钥管理、身份认证等敏感功能的基础设施软件中。