Penjelasan teknis
Dua CVE yang dipublikasikan 31 Mei 2026 mempengaruhi Aider-AI Aider 0.86.3, alat pair-programming AI populer yang digunakan untuk membuat perubahan kode di seluruh codebase. CVE-2026-10174 (CVSS v3.1 6.3): Manipulasi argumen `git-commit-verify` dalam handler pre-commit hook `aider/args.py` menghasilkan kegagalan mekanisme perlindungan, memungkinkan penyerang untuk melewati security hook pre-commit dan melakukan commit kode yang tidak ditinjau atau berbahaya. CVE-2026-10175 (CVSS v3.1 6.3 / CVSS 4.0 5.3): Fungsi `editor_coder.run` dalam `auth.py` dalam Mode Architect dapat dimanipulasi untuk mencapai injeksi kode. Kedua kerentanan dapat dieksploitasi dari jarak jauh, tidak memerlukan autentikasi, memiliki kode exploit publik yang tersedia, dan vendor tidak merespons pada saat publikasi CVE.
Vektor serangan
Manipulasi jarak jauh terhadap penanganan argumen Aider dan path eksekusi Mode Architect. Dengan kode exploit publik yang tersedia dan Aider yang umum terintegrasi dalam pipeline CI/CD dan alur kerja pengembang, eksploitasi dapat memungkinkan penyerang untuk menyuntikkan kode berbahaya ke dalam repositori sambil melewati kontrol tinjauan pre-commit.
Sistem yang terdampak
Aider-AI Aider versi 0.86.3. Banyak digunakan oleh pengembang untuk coding berbantuan AI di seluruh repositori.
Mitigasi
1) Segera pin atau downgrade dari Aider 0.86.3 di semua lingkungan pengembang dan CI/CD sampai versi yang dipatch dikonfirmasi. 2) Nonaktifkan Mode Architect (`--no-architect`) sebagai kontrol kompensasi. 3) Terapkan pre-commit hooks eksternal dan branch protection rules di luar proses Aider. 4) Perlukan tinjauan manusia dan commit yang ditandatangani untuk semua kode yang dihasilkan AI. 5) Pantau GitHub dan saluran rilis Aider untuk pembaruan keamanan.