Una grave vulnerabilidad de seguridad ha sido descubierta en el motor Unity, afectando a juegos y aplicaciones desarrolladas con versiones del motor desde Unity 2017.1. El fallo, catalogado como CVE-2025-59489, permite la ejecución de código arbitrario mediante inyección de argumentos en Unity Runtime, lo que podría permitir a atacantes con acceso local cargar bibliotecas maliciosas y escalar privilegios.
El fallo fue identificado el 4 de junio de 2025 por RyotaK, investigador de seguridad de GMO Flatt Security Inc., y fue hecho público por Unity el 2 de octubre de 2025. Desde entonces, la compañía ha emitido un aviso urgente a todos los desarrolladores para recompilar y volver a publicar sus juegos, con el fin de proteger a los usuarios.
Alcance y severidad del fallo
La vulnerabilidad afecta a sistemas Android, Linux y macOS, y está presente en títulos desarrollados con versiones del motor que abarcan desde Unity 2017.1 hasta las ediciones actuales. Según la escala CVSS (Common Vulnerability Scoring System), el fallo recibe una puntuación de 8,4 sobre 10, clasificada como “Alta”.
Unity ha confirmado que los parches correspondientes estarán disponibles para las versiones del Unity Editor a partir de la 2019.1, además de un binary patcher diseñado para adaptar compilaciones antiguas hasta la versión 2017.1.
En su comunicado oficial, la compañía afirmó:
“No existe evidencia de explotación o impacto sobre los usuarios o clientes. Hemos proporcionado correcciones proactivas ya disponibles para todos los desarrolladores.”
Reacción de la industria y medidas inmediatas
El descubrimiento generó alarma entre estudios y desarrolladores independientes, provocando actualizaciones masivas y retiradas temporales de algunos títulos de las tiendas digitales. Obsidian Entertainment eliminó temporalmente varios juegos creados en Unity, como Pillars of Eternity II: Deadfire y Pentiment, mientras que Innersloth (Among Us) y Second Dinner (Marvel Snap) confirmaron parches de seguridad para sus versiones móviles.
Asimismo, PsychoFlux Entertainment actualizó once títulos en Steam, como Gravity Castle y Fingerdance, mientras que Tenbris Studio lanzó un parche para su juego de terror Your Computer Might Be at Risk.
Un recordatorio sobre el legado del código
Este incidente pone de relieve cómo vulnerabilidades no detectadas pueden persistir durante años en bases de código amplias y ampliamente utilizadas. Sin embargo, la rápida reacción de Unity ha sido crucial para limitar el impacto en una plataforma que da soporte a más de 750.000 juegos en activo, tanto AAA como independientes.
Vía: NotebookCheck
