1. OpenBao (OpenTelemetry SDK) 2.4.x 分支存在可被利用的代码执行漏洞 (GO-2026-4394)
在 OpenBao 项目的 `release/2.4.x` 分支中,govulncheck 工具检测到一个严重的安全漏洞,编号为 GO-2026-4394。该漏洞存在于项目依赖的 OpenTelemetry Go SDK 中,具体为 `go.opentelemetry.io/otel/sdk` 包。漏洞本质是 PATH 劫持,可导致任意代码执行。该漏洞已在 OpenTelemetry Go SDK 的 v1.40.0 版本中被修复。 在 OpenBao 代码库中,受影响的文件位置广泛,涉及 PKI、命令行代理/服务器、诊断工具等多个核心模块。具体受影响的位置包括:`builtin/logical/pki/acme_errors.g...