Penjelasan teknis
Dua CVE yang dipublikasikan 31 Mei 2026 mempengaruhi Aider-AI Aider 0.86.3, alat pair-programming AI populer yang digunakan untuk membuat perubahan kode di seluruh codebase. CVE-2026-10174 (CVSS v3.1 6.3): Manipulasi argumen `git-commit-verify` dalam handler pre-commit hook `aider/args.py` menghasilkan kegagalan mekanisme perlindungan, memungkinkan penyerang membypass hook keamanan pre-commit dan melakukan commit kode yang tidak ditinjau atau berbahaya. CVE-2026-10175 (CVSS v3.1 6.3 / CVSS 4.0 5.3): Fungsi `editor_coder.run` dalam `auth.py` dalam Mode Architect dapat dimanipulasi untuk mencapai injeksi kode. Kedua kerentanan dapat dieksploitasi dari jarak jauh, tidak memerlukan autentikasi, memiliki kode exploit publik tersedia, dan vendor belum merespons pada saat publikasi CVE.
Vektor serangan
Manipulasi jarak jauh pada penanganan argumen Aider dan jalur eksekusi Mode Architect. Dengan kode exploit publik tersedia dan Aider yang umumnya terintegrasi dalam pipeline CI/CD dan alur kerja pengembang, eksploitasi dapat memungkinkan penyerang menyuntikkan kode berbahaya ke dalam repositori sambil membypass kontrol review pre-commit.
Sistem yang terdampak
Aider-AI Aider versi 0.86.3. Banyak digunakan oleh pengembang untuk coding berbantu AI di seluruh repositori.
Mitigasi
1) Segera pin atau downgrade dari Aider 0.86.3 di semua lingkungan pengembang dan CI/CD sampai versi yang dipatch dikonfirmasi. 2) Nonaktifkan Mode Architect (`--no-architect`) sebagai kontrol kompensasi. 3) Terapkan pre-commit hooks eksternal dan branch protection rules di luar proses Aider. 4) Wajibkan review manusia dan signed commits untuk semua kode yang dihasilkan AI. 5) Pantau GitHub Aider dan channel rilis untuk pembaruan keamanan.