OpenBao 2.4.x 分支曝出高危漏洞 GO-2026-4394，OpenTelemetry SDK 存在代码执行风险

OpenBao 项目的一个关键发布分支中，发现了一个可被利用的高危安全漏洞。安全扫描工具 govulncheck 在 `openbao/openbao` 仓库的 `release/2.4.x` 分支中，标记了编号为 GO-2026-4394 的漏洞，其状态为“可被利用”。该漏洞的根源在于项目依赖的 OpenTelemetry Go SDK (`go.opentelemetry.io/otel/sdk`) 存在缺陷，攻击者可能通过 PATH 环境变量劫持实现任意代码执行。

漏洞涉及多个核心依赖，包括 `github.com/docker/docker`、`google.golang.org/grpc`、`k8s.io/client-go` 以及多个 OpenTelemetry 组件。这些依赖的特定版本与存在漏洞的 `go.opentelemetry.io/otel/[email protected]` 捆绑，使得攻击面扩大。根据漏洞信息，该问题已在 OpenTelemetry SDK 的 `v1.40.0` 版本中得到修复，但 OpenBao 的 2.4.x 发布分支尚未应用此补丁。

对于依赖 OpenBao 或其相关技术的企业而言，此漏洞构成了直接的安全威胁。由于 OpenBao 作为 HashiCorp Vault 的分支，常被用于管理密钥、令牌和敏感数据，其安全漏洞可能成为攻击者渗透基础设施的跳板。开发团队和安全运维人员需立即评估其部署环境，检查是否运行在受影响的 `release/2.4.x` 分支上，并优先规划升级或应用缓解措施，以消除代码执行风险。