OpenTelemetry Go SDK 安全更新：CVE-2026-39883 修复路径劫持漏洞

OpenTelemetry Go SDK 发布关键安全更新，修复一个可能被利用的路径劫持漏洞。该漏洞被追踪为 CVE-2026-39883，源于对先前漏洞 GHSA-9h8m-3fm2-qjrq (CVE-2026-24051) 的不完整修复。在之前的补丁中，开发团队为 Darwin 系统的 `ioreg` 命令使用了绝对路径，但意外地遗漏了 BSD 系统的 `kenv` 命令，使其仍使用相对路径。这一疏忽为攻击者通过操纵系统 PATH 环境变量来劫持命令执行留下了后门。

此次更新将 `go.opentelemetry.io/otel/sdk` 模块从 v1.18.0 升级至 v1.43.0，旨在彻底解决此安全问题。该漏洞的潜在影响在于，本地攻击者可能通过精心构造的 PATH 环境，诱使应用程序执行恶意二进制文件而非合法的系统命令，从而可能导致权限提升或系统被进一步入侵。依赖此 SDK 进行应用性能监控和分布式追踪的 Go 语言项目均面临潜在风险。

对于使用该 SDK 的开发团队和安全运维人员而言，立即应用此更新至关重要。延迟升级会使相关应用持续暴露在已知的攻击向量之下。此次事件也凸显了在修复跨平台安全漏洞时，确保所有受影响组件都得到一致、彻底处理的重要性，避免因补丁不完整而引入新的风险。