En octubre de 2025, Unity Technologies publicó un aviso oficial de seguridad sobre una vulnerabilidad grave que afecta a múltiples versiones del motor, desde Unity 2019 hasta las versiones más recientes de la serie 6000. Dicha vulnerabilidad, registrada como CVE-2025-59489, fue descubierta por RyotaK de GMO Flatt Security Inc. en el Meta Bug Bounty Researcher Conference 2025 y clasificada con una severidad alta (CVSS 8.4).
A pesar de que no ha habido usuarios afectados por dicha vulnerabilidad, tiene un riesgo potencial significativo ya que impacta directamente a aplicaciones ya compiladas y distribuidas con versiones vulnerables del motor.
¿Qué es la vulnerabilidad CVE-2025-59489?
El problema se encuentra en el runtime de Unity, es decir, en la parte del motor que se incluye dentro de cada juego o aplicación compilada. Esta vulnerabilidad —clasificada como CWE-426: Untrusted Search Path— permite que el programa cargue archivos o bibliotecas desde rutas no confiables. Esto significa que un atacante podría engañar a una aplicación hecha con Unity para que cargue un archivo malicioso, logrando ejecutar código arbitrario o acceder a información sensible dentro del dispositivo del usuario.
El comportamiento varía según el sistema operativo:
- En Android, un atacante podría aprovechar un “intent” malicioso para hacer que la app cargue una biblioteca externa.
- En Windows, el riesgo aumenta si el juego o aplicación registra un manejador de URI personalizado, ya que un enlace manipulado podría activar la vulnerabilidad sin intervención directa del usuario.
- En macOS y Linux, el ataque podría derivar en una escalada de privilegios o en la exposición de datos.
¿Por qué es importante?
La razón por la cual esta vulnerabilidad es tan importante es porque se encuentra en el runtime del motor, y no en el editor. Esto quiere decir que los ejecutables o binarios de las aplicaciones ya distribuidas serán vulnerables hasta que los desarrolladores vuelvan a compilar y publicar sus proyectos.
Las plataformas afectadas son Windows, MacOS, Android, Linux (Escritorio) y Linux (Embebido).
El impacto es potencialmente crítico ya que permite la ejecución de código arbitrario dentro del contexto de la aplicación. Dependiendo de la plataforma del ejecutable, si este tiene acceso a archivos locales, red o permisos elevados, podría causar desde filtración de información sensible hasta la instalación de malware.
¿Qué deben hacer los desarrolladores?
Unity ha lanzado versiones corregidas para todas las ramas en soporte y, de forma excepcional, también para algunas versiones fuera de soporte (desde Unity 2019.1 en adelante).
Adicionalmente, se lanzó una herramienta de parchado de binarios con la que se puede sustituir la versión la librería de runtime de Unity con una que se encuentre ya parchada. Esto facilita el no tener que recompilar proyectos para tener una versión de aplicación sin la vulnerabilidad.
Para poder eliminar la vulnerabilidad de tu proyecto lo que debes de hacer es lo siguiente:
- Actualiza el Editor de Unity a una versión corregida.
Ejemplos de versiones seguras son:2022.3.67f2,2021.3.56f2,6000.0.58f2, entre otras.
Puedes consultar la lista completa en el aviso oficial de seguridad de Unity. - Reconstruye y redistribuye tus aplicaciones.
Solo así se incluirán las nuevas bibliotecas del runtime corregido.
Actualizar el editor sin recompilar no elimina la vulnerabilidad. - Usa la herramienta Binary Patch si necesitas una solución temporal.
Unity ofrece un parcheador para reemplazar las bibliotecas afectadas en binarios ya compilados, aunque esta medida es solo provisional. - Revisa manejadores URI y parámetros de lanzamiento.
En Windows, elimina cualquier posibilidad de que tu aplicación acepte argumentos externos sin validación.
En Android, revisa tus filtros de intent y evita que aplicaciones de terceros puedan lanzar la tuya con parámetros no controlados.
Una nota importante es que no importa si un proyecto usa técnicas de protección contra manipulación externas, es necesario que los juegos se parchen para estar completamente protegidos contra esta vulnerabilidad.
Conclusión y Recomendaciones
Las vulnerabilidades en software es un tema común en todo tipo de programas. Las empresas de software invierten recursos para poder proteger a sus usuarios. En este caso, Unity pudo actuar con rapidez para evitar escalar el problema, y ahora es responsabilidad de los desarrolladores actualizar, recompilar y publicar sus aplicaciones para asegurar a sus jugadores.
Algunas recomendaciones:
- Si tienes dudas al respecto, no dudes en crear un ticket de soporte y haremos lo posible para ayudar a resolver tu problema.
- Mantente suscrito a la página oficial de seguridad de Unity.
- Trata de mantener tu proyecto en las versiones LTS más recientes de Unity.
- Educa a tu equipo sobre gestión segura de dependencias, plug-ins y permisos del sistema.
