本日は監視対象リポジトリのうち 8件 でリリースが確認されました。最大の注目は Svelte v5.55.7 の XSS 脆弱性修正 です。hydratable 経由でユーザーコンテンツからスクリプトが実行される問題が修正されており、SSR 利用者は早急な対応を推奨します。Angular 19 の EOL まで残り4日 です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Astro (@astrojs/mdx) | @5.0.6 | major | frontend |
| Node.js | v26.1.0 | major | language |
| Laravel | v13.9.0 | major | backend |
| Svelte | v5.55.7 | patch | frontend |
| NestJS | v11.1.21 | patch | backend |
| Vite (plugin-legacy) | @8.0.2 | patch | tool |
| Angular | v21.2.13 | prerelease | frontend |
| Terraform | v1.15.3 | prerelease | infra |
メジャーリリースの詳細
Astro @astrojs/mdx@5.0.6 — smartypants オプション修正
Astro の MDX インテグレーションのパッチリリースです。smartypants オプションが無視されていた問題が修正されました。MDX 内の引用符やダッシュの自動変換に影響していた方は、このバージョンで期待通りの動作になります。
GitHub: https://github.com/withastro/astro/releases/tag/%40astrojs/mdx%405.0.6
Node.js v26.1.0 — 実験的 node:ffi モジュール追加(継続)
前日より引き続きの収録です。実験的な node:ffi モジュールで JavaScript からネイティブライブラリを直接呼び出し可能に。--experimental-ffi フラグで有効化、Permission Model 利用時は --allow-ffi も必要です。メモリ安全性の保証はないため本番利用には慎重な判断が必要です。
GitHub: https://github.com/nodejs/node/releases/tag/v26.1.0
Laravel v13.9.0 — 品質改善アップデート(継続)
前日より引き続きの収録です。カスタム AWS クレデンシャルプロバイダの修正、mb_split から preg_split への置換、rand() から mt_rand() への更新など、内部コードのモダナイゼーションが中心です。breaking changes はありません。
GitHub: https://github.com/laravel/framework/releases/tag/v13.9.0
パッチ / プレリリース
Svelte v5.55.7 — XSS 脆弱性修正(セキュリティ)
Svelte のパッチリリースですが、セキュリティ修正が含まれています。
hydratableからのユーザーコンテンツ経由 XSS を防止 — SSR/ハイドレーション環境でのスクリプト注入を防止- SSR 中の空属性名を禁止 — 空の属性名によるインジェクションベクターを遮断
- 正規表現のハードニング — 内部正規表現の安全性を強化
- Svelte ランタイムプロパティを Symbol に移行
- devalue パッケージのバージョンバンプ
SSR / ハイドレーション を利用している Svelte プロジェクトでは 早急なアップデートを推奨 します。
GitHub: https://github.com/sveltejs/svelte/releases/tag/svelte%405.55.7
NestJS v11.1.21 — プロバイダ初期化修正
NestJS のパッチリリースです。スキップされたプロバイダの初期化処理を確定させる修正が含まれています。依存注入の順序に起因する不具合に心当たりがある場合は検証を推奨します。
GitHub: https://github.com/nestjs/nest/releases/tag/v11.1.21
Vite plugin-legacy@8.0.2 — レガシーブラウザサポートプラグイン更新
Vite のレガシーブラウザサポートプラグインのパッチリリースです。詳細は CHANGELOG.md を参照してください。
GitHub: https://github.com/vitejs/vite/releases/tag/plugin-legacy%408.0.2
Angular v21.2.13 — イベント属性バインディング制限(セキュリティ強化)
Angular v21 系のプレリリースです。ホストバインディングでのイベント属性バインディングを無条件で禁止 するセキュリティ強化が行われました。また、platform-server に allowedHosts オプションが追加され、BEFORE_APP_SERIALIZED エラーの ErrorHandler への転送も改善されています。
GitHub: https://github.com/angular/angular/releases/tag/v21.2.13
Terraform v1.15.3 — スタックとプロバイダの修正(継続)
前日より引き続きの収録です。複数階層モジュールネスティングでのリソースマイグレーション不具合、Cloud backend の -generate-config-out フラグ転送、コンフィグなしでのプロバイダインストール時クラッシュの修正が含まれています。
GitHub: https://github.com/hashicorp/terraform/releases/tag/v1.15.3
EOL / サポート期限情報
EOL が近づいているプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 推奨移行先 |
|---|---|---|---|---|
| Angular | 19 | 2026-05-19 | 4日 | Angular 20 / 21 |
| Node.js | 25 (Current) | 2026-06-01 | 17日 | Node.js 24 LTS / 26 |
| Kubernetes | 1.33 | 2026-06-28 | 44日 | Kubernetes 1.34+ |
| Spring Boot | 3.5 | 2026-06-30 | 46日 | Spring Boot 4.0 |
| Nuxt | 3 | 2026-07-31 | 77日 | Nuxt 4 |
| Rails | 7.2 | 2026-08-09 | 86日 | Rails 8.0 / 8.1 |
Angular 19 の EOL まで 残り4日 です。5月19日(月)でセキュリティパッチの提供が終了します。Angular 20(v20.3.21、LTS)または Angular 21(v21.2.13)への移行を今週中に完了させましょう。
Node.js 25 は Current ラインで、17日後の6月1日に EOL を迎えます。LTS の Node.js 24(v24.15.0)または最新の Node.js 26(v26.1.0)への移行を検討してください。
直近で EOL を迎えたプロダクト
| プロダクト | バージョン | EOL 日 | 経過 | 推奨移行先 |
|---|---|---|---|---|
| Tailwind CSS | 4.2 | 2026-05-08 | 7日経過 | Tailwind CSS 4.3 |
| Terraform | 1.13 | 2026-04-29 | 16日経過 | Terraform 1.14 / 1.15 |
| Rust | 1.94 | 2026-04-16 | 29日経過 | Rust 1.95 |
| Laravel | 11 | 2026-03-12 | 64日経過 | Laravel 12 / 13 |
エコシステム動向
npm レジストリの注目動向
| パッケージ | latest | 備考 |
|---|---|---|
| svelte | 5.55.7 | セキュリティ修正を含む |
| @angular/core | 21.2.13 | next: 22.0.0-rc.0 |
| @nestjs/core | 11.1.21 | next: 12.0.0-alpha.4 |
| next | 16.2.6 | canary: 16.3.0-canary.19 |
| react | 19.2.6 | canary: 19.3.0-canary |
| vue | 3.5.34 | beta: 3.6.0-beta.11 |
| nuxt | 4.4.5 | 3x: 3.21.5(メンテナンス) |
| astro | 6.3.3 | alpha: 7.0.0-alpha.1 |
| tailwindcss | 4.3.0 | v3-lts: 3.4.19 |
| TypeScript | 6.0.3 | rc: 6.0.1-rc |
| vite | 8.0.13 | previous: 7.3.3 |
| Prisma | 7.8.0 | dev: 7.9.0-dev.4 |
次期バージョンの動向
| プロダクト | 次期バージョン | ステージ | 現在の latest |
|---|---|---|---|
| Angular | 22.0.0 | rc (22.0.0-rc.0) | 21.2.13 |
| NestJS | 12.0.0 | alpha (12.0.0-alpha.4) | 11.1.21 |
| Vue | 3.6.0 | beta (3.6.0-beta.11) | 3.5.34 |
| React | 19.3.0 | canary | 19.2.6 |
| Next.js | 16.3.0 | canary (16.3.0-canary.19) | 16.2.6 |
| Astro | 7.0.0 | alpha (7.0.0-alpha.1) | 6.3.3 |
PyPI レジストリ状況
| パッケージ | latest | Python 要件 |
|---|---|---|
| FastAPI | 0.136.1 | 3.10 |
まとめ
本日のリリースで最も重要なのは Svelte v5.55.7 の XSS 脆弱性修正 です。hydratable 経由のユーザーコンテンツからスクリプトが実行される問題が修正されており、SSR / ハイドレーションを利用している Svelte プロジェクトでは早急なアップデートを推奨します。空属性名の禁止や正規表現のハードニングも含まれており、セキュリティ品質が全体的に強化されています。
Angular v21.2.13 でもイベント属性バインディングの無条件禁止というセキュリティ強化が行われました。Angular 19 の EOL まで残り4日 です。今週末までに v20 / v21 への移行を完了させましょう。NestJS v11.1.21 ではプロバイダ初期化の修正、Astro の MDX インテグレーションでは smartypants オプションの修正が行われています。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。