OpenTelemetry Go SDK 爆出 macOS 路径劫持漏洞 (CVE-2026-24051)，影响 v1.20.0-1.39.0 版本

OpenTelemetry Go SDK 被曝存在一个关键的安全漏洞，允许攻击者在 macOS 系统上劫持执行路径。该漏洞被追踪为 CVE-2026-24051，影响范围覆盖从 v1.20.0 到 v1.39.0 的所有版本。漏洞根源于 SDK 的资源检测代码，具体位于 `sdk/resource/host_id.go` 文件中，其在 macOS/Darwin 系统上执行时存在不受信任的搜索路径问题。这为潜在的攻击者提供了可乘之机，可能通过操纵系统路径来执行恶意代码。

该漏洞的核心在于资源检测逻辑的缺陷。当 SDK 在受影响的版本中运行时，其用于获取主机标识符的代码路径可能被恶意利用。虽然漏洞详情在当前的 PR 描述中被平台限制截断，但已明确指向了 `host_id.go` 文件。这表明问题与系统环境交互和路径解析的安全性直接相关。目前，维护团队已发布修复版本 v1.43.0，此次安全更新将 SDK 从存在风险的 v1.35.0 直接升级至此版本。

对于所有在 macOS 或 Darwin 环境下使用受影响 OpenTelemetry Go SDK 版本的项目和开发者而言，这是一个必须立即处理的高优先级安全风险。路径劫持漏洞可能导致权限提升或系统被入侵。开发团队应尽快审查其依赖项，并将 `go.opentelemetry.io/otel/sdk` 模块更新至 v1.43.0 或更高版本，以消除此安全隐患。依赖自动化工具（如本次触发更新的 Renovate Bot）的项目已收到警报，但手动维护的项目需主动采取行动。