OpenBao 2.4.x 分支曝高危漏洞 GO-2026-4394：OpenTelemetry SDK 存在代码执行风险

OpenBao 项目的 `release/2.4.x` 分支中，一个被标记为“可被利用”的高危安全漏洞已被发现。漏洞追踪 ID 为 GO-2026-4394，其根源在于项目依赖的 OpenTelemetry Go SDK 存在缺陷，可能允许攻击者通过 PATH 环境变量劫持实现任意代码执行。该漏洞在 OpenTelemetry SDK 的 v1.40.0 版本中已被修复，但 OpenBao 的当前分支尚未应用此补丁。

漏洞扫描工具 `govulncheck` 在 OpenBao 仓库的多个关键位置识别出了易受攻击的代码路径。受影响的文件与函数范围广泛，涉及 PKI 证书管理、集群操作、代理与服务器启动以及诊断工具等多个核心模块。具体位置包括 `builtin/logical/pki/acme_errors.go`、`command/agent.go`、`command/server.go` 以及 `vault/diagnose/helpers.go` 中的多个函数。这表明漏洞影响面可能覆盖了 OpenBao 的基础设施管理、安全通信和系统诊断等关键功能。

对于使用 OpenBao 2.4.x 分支构建或部署系统的团队而言，此漏洞构成了直接的安全威胁。由于漏洞被评估为“可被利用”，且可能导致远程代码执行，它可能为攻击者提供初始立足点，进而威胁整个秘密管理基础设施的安全。项目维护者面临立即升级依赖以修复漏洞的压力，而下游用户则需要评估其部署环境的风险，并密切关注官方补丁的发布与集成进度。