В движке Unity и созданных на нем играх обнаружили опасную уязвимость

Компания Unity Technologies сообщила об устранении серьезной уязвимости в своем мультиплатформенном игровом движке, которая оставалась незамеченной на протяжении почти девяти лет.

Уязвимость CVE-2025-59489 была обнаружена 4 июня текущего года и закрыта в обновлении от 2 октября. Она затрагивала приложения и игры, созданные на Unity, начиная с версии 2017.1 от января 2017 года, и проявлялась на операционных системах Windows, Linux, macOS и Android. По шкале CVSS ее опасность оценена на уровне 8,4.

Угроза заключалась в возможности небезопасной загрузки файлов и эксплуатации PHP-инъекций, что открывало злоумышленникам доступ к локальному исполнению кода и конфиденциальным данным пользователей. Несмотря на длительное существование уязвимости, в Unity подчеркнули, что доказательств ее практического использования или негативного воздействия на пользователей не выявлено.

Компания рекомендует разработчикам перекомпилировать и перевыпустить свои проекты либо воспользоваться специальным инструментом обновления. Отмечается, что Steam уже внедрил дополнительные меры защиты.

Unity заверяет, что обновления вряд ли повлияют на работу большинства игр, и призывает разработчиков донести до игроков необходимость своевременного обновления ПО.