OpenBao 2.4.x 分支曝出加密漏洞 GO-2026-4550，影响 PGP 密钥处理核心功能

OpenBao 项目的一个长期支持分支中，一个已确认可被利用的加密漏洞正潜伏在核心的 PGP 密钥处理模块中。安全扫描工具 govulncheck 在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中，标记了编号为 GO-2026-4550 的高风险漏洞。该漏洞源于项目依赖的底层加密库 `github.com/cloudflare/circl` 中存在一个计算错误，具体涉及 secp384r1 椭圆曲线的 CombinedMult 函数。此缺陷直接威胁到 OpenBao 用于加密和解密敏感数据的核心流程。

漏洞的直接影响范围非常具体，集中在处理 PGP 密钥的 `helper/pgpkeys` 包和系统初始化的关键路径上。govulncheck 已确认漏洞代码在五个位置是“可触达的”，这意味着攻击路径是存在的。受影响的关键函数包括用于解密数据的 `DecryptBytes` 和用于加密密钥分片的 `EncryptShares`，甚至波及到 Vault 密封机制的初始化函数 `init`。这些函数是 OpenBao 实现密钥管理、数据密封和恢复的基础，漏洞的存在意味着相关操作的安全性无法得到保证。

虽然漏洞的修复版本（`github.com/cloudflare/[email protected]`）已经发布，但问题在于 OpenBao 的 2.4.x 分支仍在使用存在缺陷的旧版本依赖（`v1.6.1`）。这为仍在运行基于此分支构建的系统的用户带来了直接风险。该事件凸显了在维护长期支持版本时，及时更新深层依赖项所面临的挑战。对于使用 OpenBao 进行秘密管理和加密服务的组织而言，此漏洞提示需要对供应链安全，特别是密码学依赖项，进行更严格的审查和更及时的更新。