Falla crítica en Unity permite ejecutar código malicioso en juegos

Dieron a conocer una vulnerabilidad grave en el editor de desarrollo Unity podría permitir que atacantes carguen bibliotecas maliciosas y ejecuten código arbitrario en dispositivos.

El fallo, identificado como CVE-2025-59489 con una puntuación CVSS de 8.4, afecta a las versiones del Editor de Unity para Android, Windows, macOS y Linux.

Según el ingeniero de seguridad RyotaK de GMO Flatt Security, el problema surge por cómo Unity gestiona los argumentos de línea de comandos al depurar aplicaciones, lo que facilita su explotación local.

En pocas palabras, un atacante podría crear una aplicación o archivo malicioso que apunte a una biblioteca manipulada y lograr la ejecución de código dentro de una app o juego desarrollado en Unity. Incluso, se advierte que la explotación remota podría ser posible si un sitio web logra forzar la carga de dicha biblioteca.

Tras eso, Unity lanzó parches para corregir el error en estas versiones 6000.3.0b4, 6000.2.6f2, 6000.0.58f2, 2022.3.67f2 y 2021.3.56f2, e incluso actualizó versiones más antiguas.

La compañía señaló que no hay evidencia de explotación activa, pero advirtió que el riesgo es mayor en sistemas Windows, debido al uso de controladores URI personalizados que podrían abrir automáticamente la app vulnerable.

Por su parte, Microsoft añadió reglas de detección en Defender y está trabajando para actualizar los juegos afectados. y Valve bloqueó el inicio de títulos que usen parámetros de línea de comandos relacionados con la falla y pidió a los desarrolladores actualizar sus juegos mediante Steamworks.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, X, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.