В Unity нашли критическую уязвимость — авторы V Rising уже опубликовали официальное заявление по этому поводу
Hennadiy Chemеris
Unity Technologies опубликовала официальное предупреждение о критической уязвимости в движке Unity, затрагивающей целый ряд версий редактора и игр, созданных на его основе. Проблема получила идентификатор CVE-2025-59489 и классифицируется как уязвимость высокой степени опасности с CVSS-оценкой 8.4.
Уязвимость, выявленная специалистом RyotaK из GMO Flatt Security Inc. 4 июня 2025 года, связана с небезопасной загрузкой файлов и локальным включением файлов в зависимости от ОС. Это может привести к выполнению произвольного кода или несанкционированному доступу с теми же правами, что и у приложения.
По данным Unity, уязвимость затрагивает приложения и игры на Android, Windows, Linux и macOS. Особенно опасными могут быть проекты, использующие собственные URI-обработчики в Windows.
Unity подчеркнула, что пока не зафиксировано случаев эксплуатации уязвимости и никакого ущерба пользователям нанесено не было. Однако компания выпустила исправления и призывает разработчиков немедленно обновиться.
Исправленные версии Unity Editor включают:
- 6000.3.0b4;
- 6000.2.6f2;
- 6000.0.58f2;
- Обновления для веток 2021, 2022 и 2023.
Даже устаревшие версии начиная с Unity 2019.1 получили патчи, но более старые релизы останутся без поддержки.
Несколько известных игр уже получили обновления безопасности, среди них Cities Skylines 2 и Two Point Museum. По словам Unity, некоторые проекты могли быть обновлены «тихо», без официальных анонсов.
На ситуацию также отреагировали разработчики V Rising, предупредив игроков о рисках.
Недавно Unity обнаружила уязвимость, существующую с 2017 года, которая может быть использована в играх, созданных на Unity. Мы уже выпустили патч для клиентов и в данный момент работаем над исправлением для серверного клиента.
Мы настоятельно рекомендуем обновить вашу игру и выделенный серверный клиент, как только патч станет доступен, а также быть очень осторожными с любыми модами, которые вы скачиваете, пока не убедитесь, что они безопасны.
Берегите себя и будьте внимательны.
Что рекомендуют делать игрокам и разработчикам:
- Игрокам — как можно скорее обновить клиент игр, построенных на Unity, и быть осторожными с модами;
- Администраторам серверов — установить исправления, когда они будут доступны;
- Разработчикам — пересобрать проекты в последних версиях Unity Editor или применить бинарные патчи.
Unity отметила, что все исправления уже доступны через Unity Hub, и обновление рекомендуется не откладывать.
Кстати, в прошлом году Unity запустила шестую версию движка без скандальных правил оплаты.
