보안 업데이트 권고

요약

영향을 받는 Unity 에디터 버전으로 빌드된 애플리케이션은 운영 체제에 따라 안전하지 않은 파일 로딩 및 로컬 파일 인클루전 공격에 취약할 수 있습니다. 이로 인해 취약한 애플리케이션 권한 수준에서 로컬 코드 실행이나 정보 유출이 발생할 수 있습니다. 취약점의 악용 사례나 사용자나 고객에 대한 영향은 확인되지 않았습니다. 저희는 이 문제를 파악해 취약점을 해결하는 수정 프로그램을 제공했으며, 이미 모든 개발자가 사용할 수 있습니다.

취약점 세부 정보

CVE ID: CVE-2025-59489

발견 일자: 2025년 6월 4일

발견자: RyotaK of GMO Flatt Security Inc.

패치 제공일: 2025년 10월 2일

영향을 받는 운영 체제: 영향을 받는 운영 체제 표 참고

영향을 받는 버전: Unity 에디터 버전 표 참고

패치된 버전: Unity 에디터 버전 표 참고

취약점 유형: CWE-426: 신뢰할 수 없는 검색 경로

심각도: 높음

CVSS 점수: 8.4

CVSS 벡터 문자열: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

악용 가능성

Unity로 빌드된 애플리케이션을 실행하는 최종 사용자 디바이스에서 로컬 코드 실행과 기밀 정보 액세스 가능성이 있습니다. 코드 실행은 취약한 애플리케이션에 주어진 권한 수준으로 제한되며, 정보 유출 또한 해당 애플리케이션에 제공되는 정보에 제한됩니다. 취약점의 악용 사례는 발견되지 않았으며, 사용자나 고객에게 미친 영향도 없는 것으로 알려졌습니다.

Unity 에디터 버전 표

앞서 명시된 Unity 에디터 버전(패치 이전 버전)으로 빌드된 애플리케이션은 취약할 수 있습니다.

현재 지원되는 버전

6000.3
영향을 받는 버전
모두
패치된 버전
6000.3.0b4
6000.2
영향을 받는 버전
모두
패치된 버전
6000.2.6f2
6000.0 LTS
영향을 받는 버전
모두
패치된 버전
6000.0.58f2
2022.3 xLTS
영향을 받는 버전
모두
패치된 버전
2022.3.67f2
2021.3 xLTS
영향을 받는 버전
모두
패치된 버전
2021.3.56f2

저희는 Unity 2019.1 및 그 이후 버전을 포함하여 지원이 마감된 버전의 Unity 에디터에도 수정을 확장 적용했습니다.

지원이 마감된 버전

6000.1
영향을 받는 버전
모두
패치된 버전
6000.1.17f1
2023.2
영향을 받는 버전
모두
패치된 버전
2023.2.22f1
2023.1
영향을 받는 버전
모두
패치된 버전
2023.1.22f1
2022.3 LTS
영향을 받는 버전
모두
패치된 버전
2022.3.62f2
2022.2
영향을 받는 버전
모두
패치된 버전
2022.2.23f1
2022.1
영향을 받는 버전
모두
패치된 버전
2022.1.25f1
2021.3 LTS
영향을 받는 버전
모두
패치된 버전
2021.3.45f2
2021.2
영향을 받는 버전
모두
패치된 버전
2021.2.20f1
2021.1
영향을 받는 버전
모두
패치된 버전
2021.1.29f1
2020.3
영향을 받는 버전
모두
패치된 버전
2020.3.49f1
2020.2
영향을 받는 버전
모두
패치된 버전
2020.2.8f1
2020.1
영향을 받는 버전
모두
패치된 버전
2020.1.18f1
2019.4 LTS
영향을 받는 버전
모두
패치된 버전
2019.4.41f1
2019.3
영향을 받는 버전
모두
패치된 버전
2019.3.17f1
2019.2
영향을 받는 버전
모두
패치된 버전
2019.2.23f1
2019.1
영향을 받는 버전
모두
패치된 버전
2019.1.15f1
2018.4
영향을 받는 버전
모두
패치된 버전
N/A
2018.3
영향을 받는 버전
모두
패치된 버전
N/A
2018.2
영향을 받는 버전
모두
패치된 버전
N/A
2018.1
영향을 받는 버전
모두
패치된 버전
N/A
2017.4
영향을 받는 버전
모두
패치된 버전
N/A
2017.3
영향을 받는 버전
2017.3.0b9+
패치된 버전
N/A
2017.2
영향을 받는 버전
2017.2.0p4+
패치된 버전
N/A
2017.1
영향을 받는 버전
2017.1.2p4+
패치된 버전
N/A

영향을 받는 플랫폼 표

영향을 받는 Unity 에디터 버전으로 빌드되고 해당 플랫폼에서 릴리스된 애플리케이션은 취약점이 존재할 수 있습니다.

참고: 여기에 나열되지 않은 플랫폼의 경우, 지금까지 취약점이 악용될 수 있는 것으로 알려지지 않았습니다.

Android
영향
코드 실행/권한 상승
심각도
높음
Windows
영향
권한 상승
심각도
높음
Linux(데스크톱)
영향
권한 상승
심각도
높음
Linux(임베디드)
영향
권한 상승
심각도
높음
MacOS
영향
권한 상승
심각도
높음

Microsoft Windows 시스템에서 취약한 애플리케이션이나 핸들러 이름에 등록된 커스텀 URI 핸들러가 있으면 악용 위험이 높아질 수 있습니다. 커스텀 URI 체계가 존재하고 대상 시스템에서 호출될 수 있는 경우, 해당 URI를 열 수 있는 공격자는 커맨드 라인에 직접 액세스하지 않고도 취약한 라이브러리 로딩 동작을 트리거할 수 있습니다. 잠재적인 악용은 대상 애플리케이션의 권한과 해당 프로세스에서 접근 가능한 데이터 및 서비스로 제한됩니다. Unity 애플리케이션을 위해 정기적으로 등록된 URI 핸들러를 생성하는 업체는 security@unity3d.com으로 Unity에 직접 문의하시기 바랍니다.

알림

이 취약점은 외부 보안 연구자의 책임 있는 보고를 통해 알려졌습니다.

문제 해결 단계

애플리케이션 다시 빌드

  • Unity 에디터를 최신 버전으로 업데이트한 후, 애플리케이션을 다시 빌드하고 릴리스해야 합니다.

바이너리 패치

  • 대상 플랫폼용 Unity 바이너리 패치 툴을 사용하면 Unity Runtime 라이브러리를 패치된 버전으로 교체할 수 있습니다.

수정된 Unity 버전

수정된 Unity 버전: 최초로 수정된 버전의 Unity 에디터 직접 링크(Unity Runtime 포함)

패치된 버전
6000.3.0b4
Unity Hub 링크
6000.2.6f2
Unity Hub 링크
6000.1.17f1
Unity Hub 링크
6000.0.58f2
Unity Hub 링크
2023.2.22f1
Unity Hub 링크
2023.1.22f1
Unity Hub 링크
2022.3.67f2
Unity Hub 링크
2022.3.62f2
Unity Hub 링크
2022.2.23f1
Unity Hub 링크
2022.1.25f1
Unity Hub 링크
2021.3.56f2
Unity Hub 링크
2021.3.45f2
Unity Hub 링크
2021.2.20f1
Unity Hub 링크
2021.1.29f1
Unity Hub 링크
2020.3.49f1
Unity Hub 링크
2020.2.8f1
Unity Hub 링크
2020.1.18f1
Unity Hub 링크
2019.4.41f1
Unity Hub 링크
2019.3.17f1
Unity Hub 링크
2019.2.23f1
Unity Hub 링크
2019.1.15f1
Unity Hub 링크

FAQ

애플리케이션 또는 게임을 목록에 포함되지 않은 플랫폼이나 운영 체제에 출시한 경우에는 어떻게 해야 할까요?

+

취약점은 어떻게 발견되었나요?

+

향후 취약점을 유니티에 보고하는 절차는 어떻게 되나요?

+