VMware udostępnił patche eliminujące luki w VMware vRealize Automation 6.x (w wersjach starszych niż 6.2.4) oraz VMware vRealize Business 8.x w edycjach Advanced i Enterprise (w wersjach starszych niż 8.2.5) dla systemów Linux, które mogą być wykorzystane do ataku Cross-site scripting (XSS).
Podatność Cross-site scripting (XSS) umożliwia atakującemu na wstrzyknięcie do przeglądarki ofiary fragmentu kodu JavaScript, jak również innego języka skryptowego (np. VBScript), który może być uruchomiony w przeglądarce, a w efekcie czego wykradzenie cookies, podmianę zawartości strony czy też uruchomienie keylogera.
Lukę w VMware vRealize Automation opisaną jako CVE-2015-2344 zidentyfikował niezależny konsultant Łukasz Płonka, natomiast lukę w vRealize Business opisaną jako (CVE-2016-2075) wykrył Alvaro Trigo Martin de Vidales, konsultant z Deloitte Spain.
Poprawki eliminujące te podatności, opisane w biuletynie VMSA-2016-0003, można pobrać ze stron VMware. Wydania vRealize dla Windows nie są podatne na ww. atak.