Penjelasan teknis
NVD menerbitkan empat CVE pada 31 Mei yang mempengaruhi Aider-AI Aider versi 0.86.3, asisten coding AI open-source populer dengan >20K bintang GitHub yang digunakan luas oleh developer dan tim AI engineering. CVE-2026-10175 (CVSS 6.3): code injection melalui fungsi editor_coder.run dalam Architect Mode — penyerang jarak jauh dapat menyuntikkan dan mengeksekusi kode arbitrer dengan kompleksitas rendah dan tanpa autentikasi sebelumnya. CVE-2026-10174 (CVSS 6.3): pre-commit hook handler memungkinkan manipulasi argumen git-commit-verify, memotong mekanisme perlindungan. CVE-2026-10176 (CVSS 6.3): SQL injection dalam komponen alur kerja code generation. CVE-2026-10177 (CVSS 6.3): SSRF melalui fungsi requests.get dalam api_docs.py, memanfaatkan akses endpoint metadata AWS EC2. Public exploits tersedia untuk semua empat CVE. Vendor belum merespons atau mengeluarkan perbaikan per 31 Mei.
Vektor serangan
Semua empat CVE dapat dieksploitasi dari jaringan dengan kompleksitas serangan rendah. CVE-2026-10175 dan CVE-2026-10174 memerlukan privilege rendah; CVE-2026-10176 dan CVE-2026-10177 tampak dapat dieksploitasi tanpa autentikasi tergantung konteks deployment. Aider beroperasi dengan akses file-system dan shell yang luas sesuai desain, artinya code injection dalam Architect Mode-nya membawa radius dampak signifikan pada workstation developer dan lingkungan CI/CD.
Sistem yang terdampak
Aider-AI Aider versi 0.86.3. Workstation developer, CI/CD pipeline, dan cloud-hosted development environment tempat Aider diinstal dan dapat diakses dari jarak jauh.
Mitigasi
Tidak ada patch resmi tersedia per 31 Mei. Mitigasi: (1) Batasi Aider ke akses lokal-saja (tanpa instance yang terekspos jaringan); (2) Nonaktifkan Architect Mode jika tidak diperlukan; (3) Monitor GitHub vendor (https://github.com/Aider-AI/aider) untuk rilis yang di-patch; (4) Perlakukan Aider sebagai batas input yang tidak terpercaya — jangan letakkan bersama dengan kredensial atau secrets produksi.