技術的な説明
NVDは5月31日、Aider-AI Aider バージョン0.86.3に影響する4つのCVEを公開しました。このツールは、GitHubで20K以上のスターを獲得している人気のオープンソースAIコーディングアシスタントで、開発者とAIエンジニアリングチームで広く使用されています。CVE-2026-10175 (CVSS 6.3): Architect Modeのeditor_coder.run関数経由のコードインジェクション — リモート攻撃者は低い複雑性で認証なしに任意のコードをインジェクションして実行可能です。CVE-2026-10174 (CVSS 6.3): pre-commit フックハンドラーにより git-commit-verify 引数を操作でき、保護メカニズムをバイパス可能です。CVE-2026-10176 (CVSS 6.3): コード生成ワークフローコンポーネントのSQLインジェクション。CVE-2026-10177 (CVSS 6.3): api_docs.pyの requests.get 関数経由のSSRF。AWS EC2メタデータエンドポイントアクセスを悪用します。4つのCVE全てに対して公開エクスプロイトが存在します。ベンダーは5月31日時点で対応またはパッチを発行していません。
攻撃経路
4つのCVE全てはネットワーク悪用可能であり、攻撃複雑性は低くなっています。CVE-2026-10175とCVE-2026-10174は低い権限が必要です。CVE-2026-10176とCVE-2026-10177はデプロイメントコンテキストによっては認証なしで悪用可能に見えます。Aiderは設計上、幅広いファイルシステムとシェルアクセスで動作します。つまり、Architect Modeでのコードインジェクションは開発者ワークステーションとCI/CD環境に大きな影響範囲をもたらします。
影響を受けるシステム
Aider-AI Aider バージョン0.86.3。Aiderがインストールされており、リモートでアクセス可能な開発者ワークステーション、CI/CDパイプライン、クラウドホストされた開発環境。
緩和策
5月31日時点で公式パッチは利用できません。軽減策: (1) Aiderをローカルのみアクセスに制限 (ネットワーク公開インスタンスなし); (2) 必要がなければArchitect Modeを無効化; (3) ベンダーGitHub (https://github.com/Aider-AI/aider) でパッチされたリリースを監視; (4) Aiderを信頼できない入力境界として扱う — 本番環境の認証情報またはシークレットと共存させない。