SH-News是一套基于PHP和MySQL的新闻组系统。 SH-News 3.0版本的patch/comments.php脚本中存在SQL注入漏洞。远程攻击者可借助‘id’参数利用该漏洞执行任意SQL命令。