一、 漏洞 CVE-2025-59489 基础信息
漏洞信息
# N/A
## 概述
Unity Editor 存在 Untrusted Search Path(不安全的搜索路径)漏洞,攻击者可利用该漏洞通过构造恶意本地应用,触发文件加载及本地文件包含(LFI)机制,实现对运行时资源和第三方集成的未经授权操作。
## 影响版本
- 受影响版本:Unity Editor 2019.1 到 6000.3
## 漏洞细节
由于 Unity Editor 在文件加载过程中未正确验证搜索路径,攻击者可通过构造恶意文件路径,诱导用户运行恶意本地程序,从而触发本地文件包含(LFI)行为。该漏洞源于不安全的动态库加载或资源加载逻辑,允许攻击者操纵运行时环境。
## 影响范围
- 可影响使用 Unity 构建并部署的应用程序
- 涉及平台包括:Android、Windows、macOS、Linux
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Unity Runtime before 2025-10-02 on Android, Windows, macOS, and Linux allows argument injection that can result in loading of library code from an unintended location. If an application was built with a version of Unity Editor that had the vulnerable Unity Runtime code, then an adversary may be able to execute code on, and exfiltrate confidential information from, the machine on which that application is running. NOTE: product status is provided for Unity Editor because that is the information available from the Supplier. However, updating Unity Editor typically does not address the effects of the vulnerability; instead, it is necessary to rebuild and redeploy all affected applications.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
参数注入或修改
来源:美国国家漏洞数据库 NVD
漏洞标题
Unity Runtime 参数注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Unity Runtime是美国Unity公司的一款负责执行逻辑、渲染、物理与交互的底层系统。 Unity Runtime 2025-10-02之前版本存在参数注入漏洞,该漏洞源于参数注入,可能导致从意外位置加载库代码,从而执行任意代码和泄露机密信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-59489 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2025-59489 POC For android games | https://github.com/RealtekDotSys/Meteor | POC详情 |
| 2 | Proof Of Concept For CVE-2025-59489. Affects unity games running on Android. | https://github.com/GithubKillsMyOpsec/CVE-2025-59489-POC | POC详情 |
| 3 | CVE-2025-59489 Unity Vulnerability Checker | https://github.com/taptap/cve-2025-59489 | POC详情 |
| 4 | A simple script pack to exploit Unity's CVE-2025-59489 | https://github.com/AdriianFdz/Exploit-CVE-2025-59489 | POC详情 |
三、漏洞 CVE-2025-59489 的情报信息
-
-
-
标题: CVE-2025-59489: Arbitrary Code Execution in Unity Runtime - GMO Flatt Security Research -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-59489
四、漏洞 CVE-2025-59489 的评论
暂无评论