PT-2026-7170 · Unity · Unity-Cli

Stephen Hodgson

Publicado

2026-02-09

Atualizado

2026-02-28

CVE-2026-25918

CVSS v4.0

5.9

Média

Vetor

AV:L/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Name of the Vulnerable Software and Affected Versions unity-cli versions prior to 1.8.2

Description The sign-package command in unity-cli logs sensitive credentials in plaintext when the --verbose flag is used. Command-line arguments, including --email and --password, are output via JSON.stringify without sanitization, potentially exposing secrets to shell history, CI/CD logs, and log aggregation systems. The vulnerable parameters are email and password.

Recommendations Update to version 1.8.2 or later.

Exploit

Correção

CSRF

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352CWE-532

Identificadores relacionados

CVE-2026-25918

GHSA-4255-C27H-62M5

Produtos afetados

Unity-Cli

PT-2026-7170 · Unity · Unity-Cli

CVE-2026-25918

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 16