CVE-2025-59489: Arbitrary Code Execution in Unity Runtime since 2017
7 months ago
- #Unity
- #Vulnerability
- #Security
- CVE-2025-59489是Unity Runtime中的一个漏洞,影响基于Unity 2017.1及更高版本构建的游戏和应用程序。
- 该漏洞允许恶意程序控制命令行参数,从而实现任意代码执行。
- 攻击者可利用此漏洞加载任意共享库(.so文件),并在Unity应用程序上下文中执行恶意代码。
- 本地攻击可通过同一设备上的恶意应用实现,而远程利用需要特定条件。
- Unity已为2019.1及更高版本发布补丁,敦促开发者更新并重新编译受影响的应用。
- 该漏洞在2025年Meta漏洞赏金研究员大会上被发现,并已负责任地披露给Unity。
- SELinux限制可缓解大多数远程攻击场景,但本地攻击仍可能发生。
- 本文强调了框架和库安全的重要性,呼吁提高安全意识并采取主动防护措施。