本日は監視対象リポジトリのうち 6件 で新リリースが確認されました。最も注目すべきは Next.js v16.2.5 の セキュリティ修正 です。High 重要度の脆弱性が6件修正されており、DoS・Middleware バイパス・SSRF など深刻な問題への対応が含まれています。また Node.js v26.1.0 では実験的な node:ffi モジュールが追加されました。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Vite | v8.0.11 | major | tool |
| Node.js | v26.1.0 | minor | language |
| Astro | v6.3.1 | patch | frontend |
| Next.js | v16.2.5 | prerelease | frontend |
| Vue | v3.5.34 | prerelease | frontend |
| Angular | v21.2.12 | prerelease | frontend |
セキュリティ修正
Next.js v16.2.5 — セキュリティ修正6件(High)
Next.js v16.2.5 はセキュリティ修正に特化したリリースです。以下の High 重要度の脆弱性が修正されています:
- GHSA-8h8q-6873-q5fj — Server Components における Denial of Service
- GHSA-267c-6grr-h53f — App Router の segment-prefetch ルート経由での Middleware / Proxy バイパス
- GHSA-mg66-mrh9-m8jx — Cache Components を利用したアプリケーションでの接続枯渇による DoS
- GHSA-492v-c6pp-mqqv — 動的ルートパラメータインジェクションによる Middleware / Proxy バイパス
- GHSA-c4j6-fc7j-m34r — WebSocket アップグレードを利用した Server-side Request Forgery(SSRF)
- GHSA-36qx-fr4f-26g5 — Pages Router における Middleware / Proxy バイパス
App Router・Pages Router の両方が影響を受けるため、本番環境で Next.js を使用している場合は 即時のアップデートを強く推奨 します。
GitHub: https://github.com/vercel/next.js/releases/tag/v16.2.5
マイナーリリース詳細
Node.js v26.1.0
Node.js 26 系(Current)の最初のマイナーアップデートです。実験的な node:ffi モジュールの追加が最大の目玉ですね。
主な変更点:
- 実験的
node:ffiモジュール — ダイナミックライブラリの読み込みとネイティブシンボルの JavaScript からの呼び出しが可能に。--experimental-ffiフラグが必要で、Permission Model 有効時は--allow-ffiも必要です。メモリ安全性の保証がないため、不正なポインタやシグネチャはクラッシュやメモリ破壊を引き起こす可能性があります - buffer:
endパラメータの追加 — Buffer 操作がより柔軟に (#62390) - crypto:
crypto.diffieHellman()の改善 — キーデータの直接受け渡しと DH ジョブのクリーンアップ (#62527)
N-API を介さずにネイティブコードを呼び出せるのは画期的ですが、inherently unsafe と明記されている通り、プロダクション利用には慎重な判断が必要です。
GitHub: https://github.com/nodejs/node/releases/tag/v26.1.0
メジャーライン / パッチ / プレリリース一覧
Vite v8.0.11
v8 メジャーラインのメンテナンスリリースです。詳細な変更点は CHANGELOG.md を参照してください。v7 系からの移行がまだの方は v7.3.3 も previous タグで引き続きメンテナンスされています。
GitHub: https://github.com/vitejs/vite/releases/tag/v8.0.11
Astro v6.3.1
パッチリリースです。非プリレンダリングページで汎用画像エンドポイント使用時にローカル画像が 404 を返す問題が修正されました。
- 画像 404 修正 —
content/内のローカル画像が非プリレンダリングページで正しく配信されるように (#16646)
GitHub: https://github.com/withastro/astro/releases/tag/astro%406.3.1
Vue v3.5.34
パッチリリースです。詳細は CHANGELOG.md を参照してください。v3.6.0 は beta(3.6.0-beta.11)で開発が進行中です。
GitHub: https://github.com/vuejs/core/releases/tag/v3.5.34
Angular v21.2.12
バグ修正中心のリリースです。
- signal input transforms での read ジェネリック修正 — explicit read generic が正しく動作するように
- i18n フラグのリーク修正 — エラー時に i18n フラグが漏洩する問題を修正
- ハイドレーション修正 —
ngSkipHydrationが LContainer 内の projectable nodes を持つコンポーネントで正しく動作 - sanitizer 型定義の修正 — sanitizer の TypeScript 型定義が改善
GitHub: https://github.com/angular/angular/releases/tag/v21.2.12
EOL / サポート期限情報
EOL が近づいているプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 推奨移行先 |
|---|---|---|---|---|
| Angular | 19 | 2026-05-19 | 11日 | Angular 20 / 21 |
| Node.js | 25 (Current) | 2026-06-01 | 24日 | Node.js 24 LTS / 26 |
| Kubernetes | 1.33 | 2026-06-28 | 51日 | Kubernetes 1.34+ |
| Spring Boot | 3.5 | 2026-06-30 | 53日 | Spring Boot 4.0 |
| Nuxt | 3 | 2026-07-31 | 84日 | Nuxt 4 |
Angular 19 の EOL まで 残り11日 です。サポート終了後はセキュリティパッチが提供されなくなります。Angular 20(20.3.19)または Angular 21(21.2.12)への移行がまだの方は、速やかに着手してください。
Node.js 25 は Current ラインで、2026年6月1日に EOL を迎えます。LTS の Node.js 24 または最新の Node.js 26 への移行を検討してください。
直近で EOL を迎えたプロダクト
| プロダクト | バージョン | EOL 日 | 経過 | 推奨移行先 |
|---|---|---|---|---|
| Rust | 1.94 | 2026-04-16 | 22日経過 | Rust 1.95 |
| Django | 4.2 (LTS) | 2026-04-07 | 31日経過 | Django 5.2 LTS / 6.0 |
| Laravel | 11 | 2026-03-12 | 57日経過 | Laravel 12 / 13 |
| Tailwind CSS | 4.1 | 2026-02-18 | 79日経過 | Tailwind CSS 4.2 |
エコシステム動向
npm レジストリの注目動向
| パッケージ | latest | 備考 |
|---|---|---|
| next | 16.2.6 | v16.2.5 → 16.2.6 へ更新済み、canary: 16.3.0-canary.14 |
| vue | 3.5.34 | beta: 3.6.0-beta.11 |
| Vite | 8.0.11 | previous: 7.3.3 |
| TypeScript | 6.0.3 | rc: 6.0.1-rc |
| @angular/core | 21.2.12 | next: 22.0.0-next.11 |
| Svelte | 5.55.5 | 5.x 系安定 |
| Prisma | 7.8.0 | dev: 7.9.0-dev.4 |
| Tailwind CSS | 4.2.4 | v3-lts: 3.4.19 |
npm レジストリでは Next.js が既に v16.2.6 に更新されています。v16.2.5 のセキュリティ修正に加えて追加の修正が含まれている可能性がありますので、アップデート時は v16.2.6 への更新で問題ありません。
次期バージョンの動向
| プロダクト | 次期バージョン | ステージ | 現在の latest |
|---|---|---|---|
| Angular | 22.0.0 | next (22.0.0-next.11) | 21.2.12 |
| Vue | 3.6.0 | beta (3.6.0-beta.11) | 3.5.34 |
| NestJS | 12.0.0 | alpha (12.0.0-alpha.2) | 11.1.19 |
| React | 19.3.0 | canary | 19.2.6 |
| Next.js | 16.3.0 | canary (16.3.0-canary.14) | 16.2.6 |
| Astro | 7.0.0 | alpha (7.0.0-alpha.0) | 6.3.1 |
PyPI レジストリ状況
| パッケージ | latest | Python 要件 |
|---|---|---|
| Django | 6.0.5 | 3.12 |
| Flask | 3.1.3 | 3.9 |
| FastAPI | 0.136.1 | 3.10 |
まとめ
本日の最重要ニュースは Next.js v16.2.5 のセキュリティ修正 です。High 重要度の脆弱性が6件修正されており、DoS・Middleware バイパス・SSRF への対応が含まれています。Next.js を本番環境で利用している方は即時アップデートを推奨します。npm レジストリでは既に v16.2.6 が公開されているため、そちらへの更新でも構いません。
Node.js v26.1.0 では実験的な node:ffi モジュールが追加されました。ネイティブコードの直接呼び出しが可能になる画期的な機能ですが、安全性の保証がないため実験的な位置づけです。EOL 面では Angular 19 の残り11日 が引き続き注意が必要です。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。