Oracle WebLogic很容易出现一个远程安全漏洞。攻击者无需身份验证即可控制WebLogic服务器。漏洞利用T3协议使WLS Security子组建受影响。

版本：10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0

WebLogic Server 中的 RMI 通信

WebLogic Server 中的 RMI 通信使用 T3 协议在 WebLogic Server 和其他 Java 程序（包括客户端及其他 WebLogic Server 实例）间传输数据。服务器实例将跟踪所连接的每个 Java 虚拟机（Java Virtual Machine，简称 JVM），并创建单个 T3 连接以承担 JVM 的所有流量。请参阅“管理控制台联机帮助”中的配置 T3 协议。

例如，如果 Java 客户端访问 WebLogic Server 上的企业 Bean 和 JDBC 连接缓冲池，那么 WebLogic Server JVM 和客户端 JVM 之间就会建立起单个网络连接。因为 T3 协议能在单个连接上隐性地多路复用数据包，所以可以编写 EJB 和 JDBC 服务，就好像这些服务单独使用了专用网络连接。