本日は監視対象リポジトリのうち5件で新リリースが確認されました。Node.js v25.8.2 が CVE 9件を修正するセキュリティリリースとして最大の注目点です。Docker v29.3.1 も AuthZ プラグインのバイパスなど複数のセキュリティ修正を含んでおり、インフラ系のセキュリティ対応が求められる一日となりました。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Node.js | v25.8.2 | major | language |
| Vue | v3.5.31 | minor | frontend |
| Terraform | v1.14.8 | minor | infra |
| Docker | v29.3.1 | patch | infra |
| Next.js | v16.2.1 | prerelease | frontend |
メジャーリリース詳細
Node.js v25.8.2 — CVE 9件のセキュリティリリース
Node.js の全アクティブライン(v25 / v24 / v22 / v20)に対して同時にリリースされたセキュリティパッチです。High 2件、Medium 5件、Low 2件の CVE が修正されています。
High:
- CVE-2026-21637 —
SNICallback呼び出しをtry/catchでラップし、TLS ハンドシェイク中のクラッシュを防止(Matteo Collina) - CVE-2026-21710 —
headersDistinct/trailersDistinctに null プロトタイプオブジェクトを使用し、プロトタイプ汚染を防止(Matteo Collina)
Medium:
- CVE-2026-21711 —
pipe_wrap.ccにパーミッションチェックを追加(RafaelGSS) - CVE-2026-21712 — 異なる URL フォーマットでのクラッシュをハンドリング(RafaelGSS)
- CVE-2026-21713 — Web Cryptography の HMAC / KMAC にタイミングセーフ比較を使用(Filip Skokan)
- CVE-2026-21714 —
NGHTTP2_ERR_FLOW_CONTROLエラーコードの処理を追加(RafaelGSS) - CVE-2026-21717 — 配列インデックスのハッシュ衝突テストを追加(Joyee Cheung)
Low:
- CVE-2026-21715 —
realpath.nativeにパーミッションチェックを追加(RafaelGSS) - CVE-2026-21716 —
lib/fs/promisesにパーミッションチェックを追加(RafaelGSS)
パーミッションモデルのバイパスに関する修正が複数含まれています。Node.js のパーミッションモデル(--experimental-permission)を使用している環境では特に注意が必要です。
リリースページ: GitHub
マイナー / パッチリリース
Vue v3.5.31 — 安定版メンテナンスリリース
Vue 3.5 系の最新パッチです。詳細な変更点は CHANGELOG.md を参照してください。なお、Vue 3.6.0 は beta.8 まで進んでおり、次期マイナーリリースの準備が進行中です。
リリースページ: GitHub
Terraform v1.14.8 — プロバイダアップグレード時のクラッシュ修正
プロバイダアップグレード後に relevant attributes の表示でクラッシュする問題が修正されました(#38264)。Terraform 1.15.0 は beta1 段階です。
リリースページ: GitHub
Docker v29.3.1 — AuthZ バイパスなどセキュリティ修正
Docker Engine の複数のセキュリティ脆弱性が修正されています。
- CVE-2026-34040 — AuthZ プラグインの認証バイパス修正(GHSA-x744-4wpc-v9h2)
- CVE-2026-33997 —
docker plugin installの権限検証バイパス修正(GHSA-pxq6-2prw-chj9) - CVE-2026-33748 — 追加のセキュリティ修正
AuthZ プラグインを利用している環境では早急な対応を推奨します。
リリースページ: GitHub
Next.js v16.2.1 — バグ修正バックポート(安定版)
canary から安定版へのバグ修正バックポートリリースです。9件の修正が含まれます。
- metadata ルートのダイナミックアダプタ出力修正
- Turbopack の webpack loader runner layer 修正
cacheComponents有効時のスタンドアロンモードでの server actions 修正- レイアウトセグメント最適化: app-page imports の server-utility transition への移動
リリースページ: GitHub
EOL / サポート期限情報
EOL が近づいているプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 移行先 |
|---|---|---|---|---|
| Django | 4.2 (LTS) | 2026-04-30 | 約35日 | Django 5.2 LTS(5.2.12) |
| Angular | 19 | 2026-05-19 | 約54日 | Angular 20(20.3.18)/ 21(21.2.5) |
| Node.js | 25 (Current) | 2026-06-01 | 約67日 | Node.js 24 LTS(24.14.1) |
Django 4.2 LTS は来月末にサポート終了です。Python 3.12 以上が必要な Django 5.2 LTS への移行計画を立てましょう。
直近で EOL を迎えたプロダクト
| プロダクト | バージョン | EOL 日 | 経過 | 移行先 |
|---|---|---|---|---|
| Laravel | 11 | 2026-03-12 | 14日前 | Laravel 12(12.55.1)/ 13(13.2.0) |
| Rust | 1.93 | 2026-03-06 | 20日前 | Rust 1.94.0 |
| Kubernetes | 1.32 | 2026-02-28 | 26日前 | 1.33(1.33.10)以降 |
エコシステム動向
RC / Beta 段階のプロダクト
- Vue 3.6.0 —
betaタグに3.6.0-beta.8 - Angular 22 —
nextタグに22.0.0-next.4 - Terraform 1.15.0 —
beta1がリリース済み - NestJS 12 —
nextタグに12.0.0-alpha.2 - Astro 6.0 —
betaタグに6.0.0-beta.20(latest は6.0.8)
パッケージレジストリ概況
npm 13パッケージ、PyPI 3パッケージを監視中。Vue の latest が 3.5.31 に更新されました。React canary は 19.3.0-canary-3cb2c420-20260324 に更新されています。
まとめ
本日はセキュリティ対応が最優先の一日です。Node.js v25.8.2 は CVE 9件(High 2件含む)を修正するセキュリティリリースで、v25 / v24 / v22 / v20 の全アクティブラインに対応パッチが出ています。特にパーミッションモデルのバイパスと TLS ハンドシェイク時のクラッシュは影響が大きいため、早めのアップデートを推奨します。
Docker v29.3.1 も AuthZ プラグインの認証バイパス(CVE-2026-34040)を含むセキュリティパッチです。Docker を運用環境で使用している場合はこちらも対応しましょう。Terraform v1.14.8 のクラッシュ修正、Vue v3.5.31 のメンテナンスリリースも忘れずに。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。