30秒で判断
- 対応すべき人: VS Code、Cursor 等のエディタで Astro 拡張機能(
@astrojs/language-server)を使用している開発者 - 対応不要な人: Astro を使用していない / エディタで Astro 拡張機能を使っていない / 言語サーバーをエディタ管理外で使っていない
- 確認コマンド: VS Code のコマンドパレットで「Extensions: Show Installed Extensions」→「Astro」のバージョンを確認
この変更が意味すること
@astrojs/language-server v2.16.11 は、yaml パッケージの DoS 脆弱性(CVE-2026-33532)を修正するセキュリティリリースです。
依存パッケージである volar-service-* を 0.0.70 → 0.0.71 にアップデートすることで、yaml-language-server 1.23.0 および yaml 2.8.3 を取り込んでいます。yaml 2.8.3 にはサービス拒否(DoS)を引き起こす可能性があった脆弱性の修正が含まれています。
言語サーバーはエディタのコード補完や型チェックを担う開発時ツールのため、実行時のビルド成果物や本番環境への直接的な影響はありません。ただし、開発環境のセキュリティ維持の観点からアップデートを推奨します。
主な変更点
volar-service-* の更新(0.0.70 → 0.0.71)
volar-service-*依存関係をバージョン 0.0.71 に更新- これにより
yaml-language-server 1.23.0とyaml 2.8.3が取り込まれる - PR: #17059 by @dupontcyborg
修正された脆弱性: CVE-2026-33532
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-33532 |
| GHSA | GHSA-48c2-rrv3-qjmp |
| 種別 | サービス拒否(DoS) |
| 影響パッケージ | yaml < 2.8.3 |
| 修正バージョン | yaml 2.8.3 |
| 開発時のみ | はい(言語サーバー経由) |
EOL / サポート状況
@astrojs/language-server は Astro 本体のリリースサイクルに準拠しています。Astro 本体の最新安定版は v7.0.6 です。
| Astro バージョン | ステータス | 備考 |
|---|---|---|
| 7.x | ✅ 最新 | latest: 7.0.6 |
| 6.x | legacy タグ | 4.16.19(legacy) |
開発者への影響
- エディタセキュリティの向上: 開発環境内での yaml 処理に関する DoS リスクが解消されます
- ビルド・本番環境への影響なし: 言語サーバーはエディタ内の開発支援ツールのため、アプリケーションのビルドや実行時動作には影響しません
- 自動更新: VS Code の Astro 拡張機能の自動更新が有効な場合、次回エディタ起動時に自動的に適用されます
アップデート方法
# VS Code 拡張機能の場合(推奨)
# コマンドパレット > Extensions: Check for Extension Updates
# 言語サーバーを直接管理している場合
npm install @astrojs/language-server@2.16.11
# または
pnpm add @astrojs/language-server@2.16.11
アップデート後はエディタを再起動してください。
データソース: GitHub Releases API, npm Registry
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
