Unity est une alternative intéressante à Unreal Engine, qui, surtout dans sa cinquième génération, est connu pour ses problèmes d'optimisation et ses performances réduites dans de nombreux jeux. Malheureusement, même cet outil n'est pas exempt de failles, notamment de vulnérabilités potentiellement dangereuses. L'une de ces vulnérabilités est présente depuis huit ans. Tout a commencé lorsque le studio Obisidian a retiré certains jeux de la distribution en raison de problèmes avec le moteur Unity. Bien que l'entreprise n'ait pas fourni de raison précise ni de date de retour à la vente, une déclaration officielle d'Unity Technologies, le développeur du moteur susmentionné, ainsi que des articles de presse ultérieurs, ont apporté des éclaircissements sur l'affaire. En ce qui concerne les jeux Obsidian, les suivants ont disparu de Steam, Xbox et PlayStation :

1. Grounded 2 Founders Edition
   Grounded 2 Founders Pack
   Avowed Premium Edition
   Avowed Premium Edition Upgrade
   Pillars of Eternity: Hero Edition
   Pillars of Eternity: Definitive Edition
   Pillars of Eternity II: Deadfire
   Pillars of Eternity II: Deadfire Ultimate
   Pentiment

Le studio invoque des problèmes de sécurité. Les créateurs du moteur ont quant à eux admis qu'il s'agissait d'une vulnérabilité critique découverte huit ans plus tard dans l'éditeur Unity. Ce problème affecte les jeux et programmes créés avec l'outil à partir de la version 2017.1, disponible sur Windows, macOS et Linux. Il est intéressant de noter que quatre mois se sont écoulés depuis la découverte de la vulnérabilité, mais le correctif approprié n’a été publié que le 2 octobre. La balle est désormais dans le camp des développeurs pour mettre à jour leurs jeux. Les créateurs peuvent dès maintenant télécharger la dernière version d'Unity Editor et utiliser cet outil pour réparer leurs jeux.

La vulnérabilité a été découverte par le chercheur en sécurité RyotaK de GMO Flatt Security Inc., qui l'a signalée le 4 juin 2025. Il s'agit d'une vulnérabilité à haut risque, désignée CVE-2025-59489. Elle permet une attaque par exécution de code local (LCE) et la compromission de données.