OpenBao 2.4.x 分支曝高危漏洞 GO-2026-4394：OpenTelemetry SDK 存在任意代码执行风险

OpenBao 项目的 `release/2.4.x` 分支中，一个关键的安全漏洞已被自动化工具 `govulncheck` 标记为“可被利用”。漏洞编号 GO-2026-4394，根源在于项目依赖的 OpenTelemetry Go SDK 存在路径劫持风险，可能导致任意代码执行。该漏洞在 OpenTelemetry SDK 的 v1.40.0 版本中已得到修复，但 OpenBao 的当前分支仍在使用存在缺陷的旧版本。

该漏洞影响 OpenBao 代码库的多个核心位置，包括 PKI 证书管理、集群操作、代理与服务器启动命令以及诊断工具等关键功能模块。受影响的文件与函数包括 `builtin/logical/pki/acme_errors.go` 中的 `TranslateErrorToErrorResponse`、`command/agent.go` 中的 `Run` 函数，以及 `vault/diagnose/` 目录下多个诊断辅助函数。这些位置均调用了存在缺陷的 `go.opentelemetry.io/otel/sdk` 依赖包。

此发现将 OpenBao 维护团队置于压力之下，需要迅速评估并升级其依赖链。作为 HashiCorp Vault 的开源分支，OpenBao 的安全态势直接影响其用户对秘密管理解决方案的信任。路径劫持漏洞若被利用，攻击者可能通过操纵环境变量在服务器上执行恶意代码，这对于处理敏感密钥和证书的 Vault 类产品构成严重威胁。项目方需尽快将 OpenTelemetry Go SDK 依赖升级至 v1.40.0 或更高版本，以消除此风险。