Unity实时开发平台漏洞可导致攻击者执行任意代码
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Unity Technologies发布安全公告,警告开发者其游戏开发平台存在高危漏洞(CVE-2025-59489),影响2017.1及以上版本的Unity Editor。该漏洞可能导致本地代码执行和权限提升,影响数百万款应用。Unity已发布补丁,建议开发者及时升级或修复。
🎯
关键要点
- Unity Technologies发布安全公告,警告开发者存在高危漏洞(CVE-2025-59489)。
- 该漏洞影响2017.1及以上版本的Unity Editor,可能导致本地代码执行和权限提升。
- 漏洞源于不受信任的搜索路径缺陷,CVSS评分为8.4分,影响数百万款应用。
- Android应用风险最高,Windows/Linux/macOS平台主要存在权限提升风险。
- GMO Flatt Security公司于2025年6月4日发现该漏洞,攻击者可利用本地文件包含机制执行任意代码。
- 在Windows系统上,注册自定义URI处理程序会增加攻击风险。
- 受影响产品包括Unity Editor 2017.1+版本及使用这些版本构建的应用。
- 修复方案包括使用更新版Unity Editor重新构建应用程序或使用Unity专用补丁工具进行修补。
- 当前受支持版本已获得即时补丁,2019.1至2023.2的旧版本也获得了安全更新。
- Unity尚未检测到活跃攻击迹象,也未收到客户受影响报告。
➡️
