セキュリティアップデートのアドバイザリー

脆弱性の詳細

CVE ID:CVE-2025-59489

発見日: 2025 年 6 月 4 日

発見者: RyotaK of GMO Flatt Security Inc.

パッチ提供日: 2025 年 10 月 2 日

影響を受けるオペレーティングシステム: 影響を受けるオペレーティングシステムの表を参照

影響を受けるバージョン: Unity エディターのバージョン表を参照

パッチ適用済みバージョン: Unity エディターのバージョン表を参照

脆弱性の種類:CWE-426: 信頼されていない検索パス

深刻度: 重要

CVSS スコア:8.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

悪用される可能性

Unity でビルドされたアプリケーションを実行しているエンドユーザーのデバイス上で、ローカルコード実行や機密情報へのアクセスが可能になることが懸念されます。コードの実行は脆弱なアプリケーションの特権レベルに制限され、情報漏洩は脆弱なアプリケーションが利用可能な情報に制限されます。この脆弱性の悪用の証拠はなく、ユーザーや顧客への影響も今までありません。

Unity エディターのバージョン表

パッチ適用済みバージョンより前の、示されているバージョンの Unity エディターでビルドされたアプリケーションには、脆弱性があると考えられます。

現在サポート対象のバージョン

Unity エディターのサポート対象外バージョンへの修正を、Unity 2019.1 以降を含むように拡大しました。

サポート対象外のバージョン

影響を受けるプラットフォームの表

影響を受けるバージョンの Unity エディターでビルドされ、これらのプラットフォームでリリースされたアプリケーションには、この脆弱性による影響を受ける可能性があります。

注意: 一覧に記載されていないプラットフォームについては、この脆弱性が悪用可能であることを示唆する調査結果はありません。

Microsoft Windows システム上で、脆弱なアプリケーションやハンドラー名に対して登録されたカスタム URI ハンドラーが存在する場合、悪用のリスクが高まる可能性があります。カスタム URI スキームが存在し、対象システム上で呼び出すことが可能な場合、攻撃者がその URI を開かせることで、直接コマンドラインへアクセスを必要とせずに、脆弱なライブラリの読み込み動作を誘発する可能性があります。ただし、潜在的な悪用はターゲットとなるアプリケーションの権限およびそのプロセスがアクセス可能なデータやサービスに限定されます。Unity アプリケーション向けにカスタム URI ハンドラーを定期的に作成している組織は、直接 Unity（メール:security@unity3d.com）までご連絡ください。

発見

この脆弱性は、外部のセキュリティ研究者によって責任を持って報告されました。

修正手順

アプリケーションのリビルド

• Unity エディターを最新バージョンにアップデートしてから、アプリケーションをリビルドして再展開します。

バイナリのパッチ処理

• ターゲットプラットフォーム用の Unity バイナリパッチツールを使用して、Unity Runtime ライブラリをパッチ適用済みバージョンのライブラリに置き換えることができます。

Unity の修正済みバージョン

Unity の修正済みバージョン:Unity エディターの最初の修正済みバージョンへのダイレクトリンク (Unity Runtime も含む)