Die Schwachstelle betrifft VMware Aria Operations und ist ein gespeichertes Cross-Site-Scripting (Stored XSS). Der Fehler sitzt in der Funktion zum Anlegen eigener Benchmarks: Ein angemeldeter Nutzer, der über die Berechtigung verfügt, solche benutzerdefinierten Benchmarks zu erstellen, kann dabei Schadcode in Form von Skript einschleusen. Dieses Skript wird gespeichert und später im Kontext der Anwendung ausgeführt – etwa wenn ein anderer Benutzer die manipulierten Inhalte aufruft. Dadurch kann der Angreifer im Namen des Opfers administrative Aktionen innerhalb von VMware Aria Operations durchführen. Voraussetzung ist also kein anonymer Fernzugriff, sondern ein Konto mit der genannten Berechtigung; gefährlich ist jedoch, dass sich darüber die Rechte ausweiten und Verwaltungsfunktionen missbrauchen lassen. Betroffen sind Umgebungen, in denen mehrere Nutzer mit unterschiedlichen Rechten auf dieselbe Instanz zugreifen.