统一技术有发表安全公告警告开发人员和用户某些版本的 Unity 编辑器中发现的高风险漏洞。该缺陷于 2025 年 10 月 2 日披露,影响跨多个平台在 Unity 上构建的应用程序和游戏,引发了对潜在本地代码执行和信息泄露的担忧。
根据该通报,该问题被确定为 CVE-2025-59489,被归类为高严重性漏洞,CVSS 评分为 8.4。它允许不安全的文件加载和本地文件包含,具体取决于操作系统,这反过来又可能以与应用程序相同的权限级别启用代码执行或未经授权的访问。不过,该公司强调,“没有证据表明该漏洞被利用,也没有对用户或客户造成任何影响。”
该安全风险最初由 GMO Flatt Security Inc. 的 RyotaK 于 2025 年 6 月 4 日发现,Unity 此后提供了修复程序,强烈鼓励开发人员实施。已修补的 Unity Editor 版本包括 6000.3.0b4、6000.2.6f2、6000.0.58f2 以及 2021、2022 和 2023 分支的更新。自 Unity 2019.1 以来不再支持的版本也已获得修复,但较旧的版本仍然没有补丁。
该漏洞对 Android、Windows、Linux 和 macOS 上运行的应用程序具有广泛的影响,每个平台都面临着高度严重的特权提升风险。 Unity 为开发人员概述了修复步骤,其中包括在最新的 Unity 编辑器中重建应用程序或应用公司提供的二进制补丁。
一些游戏已经收到了相应的安全更新。值得注意的是,《城市天际线 2》和《两点博物馆》都在补丁之列,而其他游戏如果共享相同的漏洞利用途径,则可能已经悄悄更新。 Unity 还敦促在 Windows 环境中使用自定义 URI 处理程序的开发人员直接联系该公司,因为这些配置可能会增加被利用的可能性。
Unity 强调,修复程序可立即提供,并可通过 Unity Hub 访问。尽管到目前为止还没有滥用该漏洞的报告,但该公司正在紧急处理此事,以保护开发人员和最终用户免受潜在风险。