技術的な説明
NVDは5月31日にAider-AI Aider バージョン0.86.3に影響を与える4つのCVEを公開しました。これは20K以上のGitHubスターを持つ人気のあるオープンソースAIコーディングアシスタントで、開発者とAIエンジニアリングチームによって広く使用されています。CVE-2026-10175(CVSS 6.3):Architect ModeのEditor_coder.run関数経由のコードインジェクション — リモート攻撃者は低い複雑性で事前認証なしで任意のコードを注入して実行できます。CVE-2026-10174(CVSS 6.3):プリコミットフックハンドラーはgit-commit-verify引数の操作を許可し、保護メカニズムをバイパスします。CVE-2026-10176(CVSS 6.3):コード生成ワークフローコンポーネントのSQLインジェクション。CVE-2026-10177(CVSS 6.3):api_docs.pyのrequests.get関数経由のSSRF、AWS EC2メタデータエンドポイントアクセスを悪用しています。4つのCVEすべてについてパブリックエクスプロイトが存在します。ベンダーは5月31日現在、対応またはパッチの発行をまだ行っていません。
攻撃経路
4つのCVEはすべてネットワーク悪用可能で、攻撃複雑性は低いです。CVE-2026-10175とCVE-2026-10174は低い権限が必要です。CVE-2026-10176とCVE-2026-10177は展開コンテキストに応じて認証なしで悪用可能に見えます。Aiderは設計上、広いファイルシステムとシェルアクセス権限を持って動作するため、Architect Modeでのコードインジェクションは開発者ワークステーションとCI/CD環境での影響範囲が大きくなります。
影響を受けるシステム
Aider-AI Aider バージョン0.86.3。Aiderがインストールされており、リモートでアクセス可能な開発者ワークステーション、CI/CDパイプライン、クラウドホストされた開発環境。
緩和策
5月31日現在、公式パッチは利用できません。軽減策:(1)Aiderをローカルのみのアクセスに制限する(ネットワーク公開インスタンスなし);(2)不要な場合はArchitect Modeを無効化する;(3)ベンダーGitHub(https://github.com/Aider-AI/aider)でパッチされたリリースを監視する;(4)Aiderを信頼されていない入力境界として扱う — 本番環境の認証情報またはシークレットと共に配置しない。