OpenBao 2.4.x 分支曝出高危漏洞 GO-2026-4394，OpenTelemetry SDK 存在代码执行风险

OpenBao 项目的一个关键发布分支被曝存在一个可被利用的高危安全漏洞。在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中，自动化安全扫描工具 govulncheck 检测到编号为 GO-2026-4394 的漏洞，其状态被标记为“可被利用”。该漏洞的根源在于项目依赖的 OpenTelemetry Go SDK 组件，具体涉及 `go.opentelemetry.io/otel/sdk` 等多个相关模块，攻击者可能通过 PATH 环境变量劫持实现任意代码执行。

漏洞直接影响 OpenBao 的多个核心依赖项，包括 `github.com/docker/docker`、`google.golang.org/grpc`、`k8s.io/client-go` 以及 Go 标准库本身。问题代码已被定位到项目源代码中的 `builtin/logical/pki/acme_errors.go` 文件的第 199 行。根据漏洞数据库信息，此问题已在 OpenTelemetry Go SDK 的 v1.40.0 版本中得到修复，但目前 OpenBao 的 2.4.x 发布分支仍在使用存在缺陷的 v1.38.0 版本。

对于依赖 OpenBao 进行密钥管理和秘密存储的企业与开发者而言，此漏洞构成了直接的安全威胁。由于 OpenBao 是 HashiCorp Vault 的一个分支，广泛应用于云原生和微服务架构中，其安全性至关重要。该漏洞的可利用性意味着攻击者可能在特定条件下获得系统控制权，从而危及整个秘密管理体系。项目维护团队面临立即升级依赖以消除风险的紧迫压力，而下游用户则需要评估其部署环境是否受影响并制定缓解或升级计划。