보안 업데이트 권고

취약점 세부 정보

CVE ID: CVE-2025-59489

발견 일자: 2025년 6월 4일

발견자: RyotaK of GMO Flatt Security Inc.

패치 제공일: 2025년 10월 2일

영향을 받는 운영 체제: 영향을 받는 운영 체제 표 참고

영향을 받는 버전: Unity 에디터 버전 표 참고

패치된 버전: Unity 에디터 버전 표 참고

취약점 유형: CWE-426: 신뢰할 수 없는 검색 경로

심각도: 높음

CVSS 점수: 8.4

CVSS 벡터 문자열: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

악용 가능성

Unity로 빌드된 애플리케이션을 실행하는 최종 사용자 디바이스에서 로컬 코드 실행과 기밀 정보 액세스 가능성이 있습니다. 코드 실행은 취약한 애플리케이션에 주어진 권한 수준으로 제한되며, 정보 유출 또한 해당 애플리케이션에 제공되는 정보에 제한됩니다. 취약점의 악용 사례는 발견되지 않았으며, 사용자나 고객에게 미친 영향도 없는 것으로 알려졌습니다.

Unity 에디터 버전 표

앞서 명시된 Unity 에디터 버전(패치 이전 버전)으로 빌드된 애플리케이션은 취약할 수 있습니다.

현재 지원되는 버전

저희는 Unity 2019.1 및 그 이후 버전을 포함하여 지원이 마감된 버전의 Unity 에디터에도 수정을 확장 적용했습니다.

지원이 마감된 버전

영향을 받는 플랫폼 표

영향을 받는 Unity 에디터 버전으로 빌드되고 해당 플랫폼에서 릴리스된 애플리케이션은 취약점이 존재할 수 있습니다.

참고: 여기에 나열되지 않은 플랫폼의 경우, 지금까지 취약점이 악용될 수 있는 것으로 알려지지 않았습니다.

Microsoft Windows 시스템에서 취약한 애플리케이션이나 핸들러 이름에 등록된 커스텀 URI 핸들러가 있으면 악용 위험이 높아질 수 있습니다. 커스텀 URI 체계가 존재하고 대상 시스템에서 호출될 수 있는 경우, 해당 URI를 열 수 있는 공격자는 커맨드 라인에 직접 액세스하지 않고도 취약한 라이브러리 로딩 동작을 트리거할 수 있습니다. 잠재적인 악용은 대상 애플리케이션의 권한과 해당 프로세스에서 접근 가능한 데이터 및 서비스로 제한됩니다. Unity 애플리케이션을 위해 정기적으로 등록된 URI 핸들러를 생성하는 업체는 security@unity3d.com으로 Unity에 직접 문의하시기 바랍니다.

알림

이 취약점은 외부 보안 연구자의 책임 있는 보고를 통해 알려졌습니다.

문제 해결 단계

애플리케이션 다시 빌드

• Unity 에디터를 최신 버전으로 업데이트한 후, 애플리케이션을 다시 빌드하고 릴리스해야 합니다.

바이너리 패치

• 대상 플랫폼용 Unity 바이너리 패치 툴을 사용하면 Unity Runtime 라이브러리를 패치된 버전으로 교체할 수 있습니다.

수정된 Unity 버전

수정된 Unity 버전: 최초로 수정된 버전의 Unity 에디터 직접 링크(Unity Runtime 포함)