Unity ha alertado a los desarrolladores sobre una vulnerabilidad de seguridad significativa que afecta a los juegos creados con versiones de su herramienta de desarrollo desde 2017. La compañía ha instado a los desarrolladores a tomar medidas inmediatas para abordar este problema, aunque no se ha reportado ninguna explotación de la vulnerabilidad ni impacto en los usuarios o clientes.
La vulnerabilidad afecta a los juegos y aplicaciones desarrollados y publicados con Unity 2017.1 o versiones posteriores para Windows, Android y macOS. Larry Hryb, conocido como «Major Nelson», ha informado que Unity ya tiene disponibles las correcciones necesarias para los desarrolladores.
Vulnerabilidad de Seguridad en Unity
Los socios de plataforma de Unity también han implementado medidas adicionales para proteger sus plataformas y a los usuarios finales. Valve ha lanzado una nueva versión de Steam que incluye mitigaciones para el exploit. Microsoft Defender ha sido actualizado para detectar y bloquear la vulnerabilidad en Windows. Además, Google y Meta han tomado medidas similares.
Según Larry Hryb, no se han encontrado indicios de que la vulnerabilidad pueda ser explotada en iOS, visionOS, tvOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest y WebGL. Esto proporciona un respiro a los jugadores y desarrolladores en estas plataformas.
Se identificó una vulnerabilidad de seguridad que afecta a juegos y aplicaciones desarrollados con Unity (versión 2017.1 y posteriores) para sistemas operativos Android, Windows, Linux y macOS. No hay evidencia de explotación de la vulnerabilidad ni impacto alguno en usuarios o clientes. Hemos proporcionado correcciones proactivas para abordar la vulnerabilidad, que ya están disponibles para todos los desarrolladores. El investigador de seguridad RyotaK reportó la vulnerabilidad responsablemente, y le agradecemos su colaboración.
Respuesta de los desarrolladores
Numerosos desarrolladores han respondido rápidamente a la divulgación de la vulnerabilidad. Obsidian, por ejemplo, ha retirado temporalmente algunos de sus juegos y productos de las tiendas digitales, como Grounded 2 Founders Edition, Avowed Premium Edition, Pillars of Eternity: Hero Edition, Pillars of Eternity II: Deadfire y Pentiment. Estos juegos permanecerán fuera de las tiendas hasta que se implementen las actualizaciones necesarias para solucionar el problema.
Otros juegos que han recibido actualizaciones incluyen Marvel Snap, No Rest for the Wicked, Ingress y Fate/Grand Order. Atlus también ha anunciado que Persona 5: The Phantom X recibirá una actualización para abordar la vulnerabilidad.
A security vulnerability affecting our games that use Unity has recently been identified.
As a precaution and to keep you safe, we have temporarily removed the following titles and products from digital storefronts while we implement the necessary updates to address the issue:…— Obsidian (@Obsidian) October 3, 2025
El registro de vulnerabilidades y exposiciones comunes (CVE) sobre el exploit indica que si una aplicación fue creada con una versión de Unity Editor que contenía el código vulnerable de Unity Runtime, un adversario podría ejecutar código y exfiltrar información confidencial de la máquina en la que se ejecuta la aplicación.
