运营反馈我们的包被谷歌警告了,说我们的包违反了网络滥用政策,具体原因是说Unity2017之后的版本有一个漏洞,但是没有说是什么漏洞,这真是大海捞针,于是通过不断的查找,发现确实有其他人也遇到这个问题,具体漏洞就是( CVE-2025-59489),所以决定记录一下。
具体漏洞详情
CVE ID: CVE-2025-59489
发现日期: 2025年6月4日
发现者: GMO Flatt Security Inc. 的 RyotaK
补丁发布日期: 2025年10月2日
受影响的操作系统:请参阅受影响的操作系统表
受影响版本:请参阅 Unity 编辑器版本表
已打补丁的版本:请参阅 Unity 编辑器版本表
漏洞类型: CWE-426:不受信任的搜索路径
严重程度:高
CVSS评分: 8.4
CVSS 向量字符串: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
开发潜力
该漏洞可能允许在运行 Unity 应用程序的终端用户设备上执行本地代码并访问机密信息。代码执行权限将限制在易受攻击应用程序的权限级别内,信息泄露也将仅限于易受攻击应用程序可访问的信息。目前没有证据表明该漏洞已被利用,也没有对用户或客户造成任何影响。
Unity编辑器版本表
使用指定版本的 Unity 编辑器在补丁版本之前构建的应用程序被认为存在漏洞。
当前支持版本
| 受影响版本 | 已打补丁版本 | |
|---|---|---|
| 6000.3 | 全部 | 6000.3.0b4 |
| 6000.2 | 全部 | 6000.2.6f2 |
| 6000.0 升 | 全部 | 6000.0.58f2 |
| 2022.3 xLTS | 全部 | 2022.3.67f2 |
| 2021.3 xLTS | 全部 | 2021.3.56f2 |
我们已将修复程序扩展到已停止支持的 Unity 编辑器版本,包括 Unity 2019.1 及更高版本。
已停止支持的版本
| 受影响版本 | 已打补丁版本 | |
|---|---|---|
| 6000.1 | 全部 | 6000.1.17f1 |
| 2023.2 | 全部 | 2023.2.22f1 |
| 2023.1 | 全部 | 2023.1.22f1 |
| 2022.3 LTS | 全部 | 2022.3.62f2 |
| 2022.2 | 全部 | 2022.2.23f1 |
| 2022.1 | 全部 | 2022.1.25f1 |
| 2021.3 LTS | 全部 | 2021.3.45f2 |
| 2021.2 | 全部 | 2021.2.20f1 |
| 2021.1 | 全部 | 2021.1.29f1 |
| 2020.3 | 全部 | 2020.3.49f1 |
| 2020.2 | 全部 | 2020.2.8f1 |
| 2020.1 | 全部 | 2020.1.18f1 |
| 2019.4 LTS | 全部 | 2019.4.41f1 |
| 2019.3 | 全部 | 2019.3.17f1 |
| 2019.2 | 全部 | 2019.2.23f1 |
| 2019.1 | 全部 | 2019.1.15f1 |
| 2018.4 | 全部 | 不适用 |
| 2018.3 | 全部 | 不适用 |
| 2018.2 | 全部 | 不适用 |
| 2018.1 | 全部 | 不适用 |
| 2017.4 | 全部 | 不适用 |
| 2017.3 | 2017.3.0b9+ | 不适用 |
| 2017.2 | 2017.2.0p4+ | 不适用 |
| 2017.1 | 2017.1.2p4+ | 不适用 |
解决方案其实有2种:
第一是升级你的引擎,具体版本请查看以上官方公布的。
第二就是使用Unity提供的工具给你的安卓包重新打一个包。
打补丁方法如下:
以windos版为例
1.解压压缩包后打开此执行文件
2.找到自己安装包路径,然后点击修补
注意:
1.安装包路径不要有中文
2.版本代码要比原来的高,查询版本可以看到当前版本,如果想保持版本不变,就填0
