OpenTelemetry-Go 漏洞 CVE-2026-39883：BSD/Solaris 平台存在 PATH 劫持风险

OpenTelemetry-Go 项目在修复一个早期漏洞时，无意中为 BSD 和 Solaris 系统留下了一个新的安全后门。该漏洞（CVE-2026-39883）被评定为高风险，源于开发者在修复 CVE-2026-24051 时的不一致性。具体而言，修复程序为 Darwin 系统的 `ioreg` 命令使用了绝对路径，但却让 BSD 系统的 `kenv` 命令继续使用相对路径，这使得攻击者可以通过操纵系统 PATH 环境变量，在受影响系统上执行任意代码。

此漏洞影响了 OpenTelemetry-Go 从 1.15.0 到 1.42.0 的所有版本。问题代码存在于项目的多个分支中，包括 `release-1.17`。该漏洞的发现和跟踪记录在 GitHub 的安全代码扫描工具中，与 Kyverno 项目仓库下的一个特定扫描警报（codeql-id-2342）相关联，凸显了供应链安全中依赖项审查的复杂性。

该漏洞的修复版本为 1.43.0。对于使用受影响版本的开源项目和企业而言，这构成了直接的供应链安全风险。依赖 OpenTelemetry 进行可观测性数据收集的云原生应用和分布式系统，若部署在 FreeBSD、NetBSD 或 Solaris 等平台上，面临潜在的权限提升和系统控制威胁。这再次警示开发团队，在修复跨平台安全问题时，必须进行全面的回归测试，以避免修补一个漏洞的同时引入另一个。