Unity ha corregido la vulnerabilidad CVE-2025-59489 (puntuación CVSS 8.4) presente desde Unity 2017.1 y radicada en Unity Runtime. El fallo permite ejecución de código arbitrario en Android y, bajo ciertas condiciones, elevación de privilegios en Windows. La exposición es significativa debido a la cuota de mercado del motor en juegos móviles, de PC y consolas, si bien no hay evidencias públicas de explotación activa.
CVE-2025-59489: alcance, severidad y riesgo para el ecosistema de videojuegos
La vulnerabilidad fue reportada por RyotaK (GMO Flatt Security) y deriva de una carga insegura de bibliotecas y posibles inclusiones locales de archivos (LFI) en aplicaciones construidas con Unity. Según Unity, la ejecución resultante queda limitada a los permisos del proceso vulnerable; no obstante, esto puede exponer datos de juego, credenciales y superficies de ataque para persistencia o movimiento lateral en entornos de escritorio.
Vector de ataque: argumento -xrsdk-pre-init-library y superficies de entrada
El problema se origina en el tratamiento insuficiente del argumento de línea de comandos -xrsdk-pre-init-library. En Android, la manipulación de Intents por parte de otra app en el mismo dispositivo podría redirigir la ruta de la biblioteca nativa y forzar la carga y ejecución de código no confiable dentro del contexto del juego. En Windows, macOS y Linux, patrones similares son plausibles cuando se aceptan argumentos no confiables o se alteran rutas de búsqueda de bibliotecas, lo que explica la clasificación multiplataforma y la alta criticidad.
Impacto en productos reales y respuesta de proveedores
Microsoft identifica títulos populares potencialmente afectados como Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, DOOM (2019), Wasteland 3 y Forza Customs. Unity publicó parches, Valve actualizó el cliente de Steam para bloquear el lanzamiento vía URI schemes personalizados y reducir vectores de abuso, y Microsoft difundió medidas de mitigación y actualizó Defender para mejorar la detección.
Parches de Unity y acciones recomendadas para desarrolladores
Unity puso a disposición correcciones para ramas aún mantenidas, incluyendo líneas históricas desde 2019.1 en adelante; los lanzamientos anteriores no recibirán actualización. Se recomienda a los estudios y editores: actualizar el editor a una versión corregida, recompilar y redistribuir el juego, y reemplazar el binario de Unity Runtime afectado. Valve sugiere recompilar sobre una versión segura o, en su defecto, integrar el UnityPlayer.dll corregido en builds ya publicadas.
Disponibilidad de actualizaciones y estado de títulos
Algunas compañías han reaccionado con medidas preventivas. Obsidian retiró temporalmente varios títulos de tiendas digitales (por ejemplo, Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity, Pillars of Eternity II: Deadfire, Pentiment) hasta completar la actualización. Ya se publicaron parches para Marvel Snap, No Rest for the Wicked, Ingress y Fate/Grand Order, mientras que Persona 5: The Phantom X tiene un parche en desarrollo.
Recomendaciones de ciberseguridad para desarrolladores y usuarios
Desarrolladores: además de actualizar Unity y reconstruir, auditen todas las cadenas de arranque (argumentos, URI schemes, lanzadores) y revisen plugins de terceros que puedan debilitar la política de carga de bibliotecas. En móviles, reduzcan la superficie de interacción mediante Intents, apliquen validación estricta de entradas y revisen permisos de exportación de componentes.
Usuarios y administradores: sigan las guías de Microsoft; desinstalen temporalmente juegos vulnerables y reinstalen tras la llegada de parches. Mantengan Steam y Microsoft Defender actualizados. En Android, eviten instalar apps de fuentes no confiables que puedan coexistir con los juegos y abusar de mecanismos interproceso.
Este incidente evidencia la necesidad de validar entradas y asegurar la carga de bibliotecas en todo el ciclo de vida del software. Cuanto antes migren los proyectos a versiones corregidas de Unity Runtime, menor será la ventana de exposición. Los equipos técnicos deberían priorizar el parcheo y la redistribución, y los jugadores, aplicar actualizaciones en cuanto estén disponibles para reducir el riesgo de compromiso de dispositivos y datos.
