发布日期：2026-02-09
更新日期：2026-04-07

受影响系统：

RageAgainstThePixel unity-cli < 1.8.2

描述：

---

CVE(CAN) ID: CVE-2026-25918

unity-cli是RageAgainstThePixel开源的Unity游戏引擎的命令行实用程序。
unity-cli 1.8.2之前版本存在日志文件插入敏感信息漏洞，该漏洞源于sign-package命令在使用--verbose标志时会以明文形式记录敏感凭据,包括--email和--password在内的命令行参数通过未经过滤的JSON.stringify输出，攻击者可利用该漏洞导致机密信息暴露在shell历史记录、CI/CD日志以及日志聚合系统中。

<*链接：https://github.com/RageAgainstThePixel/unity-cli/security/advisories/GHSA-4255-c27h-62m5
*>

建议：

---

厂商补丁：

RageAgainstThePixel
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/RageAgainstThePixel/unity-cli/security/advisories/GHSA-4255-c27h-62m5

浏览次数：66
严重程度：0（网友投票）