Steam-maker Valve waarschuwt gamemakers voor een kwetsbaarheid die via de Unity-game-editorversie 2017.1 uit 2017 geïntroduceerd is en nog steeds van toepassing is. Er is volgens Unity geen indicatie dat de kwetsbaarheid daadwerkelijk actief misbruikt wordt.
De Steam-client blokkeert in bepaalde gevallen automatisch games op basis van Unity 2017.1 of nieuwer. Wanneer spellen worden gestart via een OS-snelkoppeling of een custom URI, ofwel 'steam://', en een bepaalde 'commandlineparameter' hebben die geassocieerd wordt met de kwetsbaarheid, blokkeert de client de game automatisch. In alle andere gevallen verschijnt er een waarschuwing.
De kwetsbaarheid CVE-2025-59489 is van toepassing op games die de vermelde versie van de Unity Editor of nieuwer gebruiken. Naar schatting worden jaarlijks alleen al duizenden games gemaakt met de Unity Editor uitgebracht.
Op een supportpagina laat Unity weten hoe ontwikkelaars hun games en apps het beste kunnen updaten, namelijk door de applicatie opnieuw te bouwen met een gepatchte versie van de Editor. Ook Microsoft heeft een supportpagina gepubliceerd. Volgens Unity zijn alle grote antivirusproviders ingelicht en wordt er met die bedrijven gewerkt voor extra beveiligingsmaatregelen.
De kwetsbaarheid geldt voor apps op Windows, Android, macOS en Linux. Dankzij de kwetsbaarheid zouden hackers willekeurige code kunnen uitvoeren via een commandlinefunctie waarmee Unity-apps code kunnen uitvoeren. Voor zover bekend zijn applicaties voor iOS, Xbox, Nintendo Switch, PlayStation, UWP, Quest en WebGL niet kwetsbaar.