本日は監視対象リポジトリのうち 10件 でリリースが確認されました。最大の注目は Next.js v16.2.6 のセキュリティリリースです。Middleware/Proxy バイパスや Server Components を利用した DoS など 高深刻度(High)の脆弱性が4件 修正されており、App Router を利用しているすべてのプロジェクトに対応が求められます。また Docker v29.5.0 にも悪意あるイメージによる DoS の CVE 修正が含まれています。Angular 19 の EOL まで残り3日 です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Astro (@astrojs/mdx) | @astrojs/mdx@5.0.6 | major | frontend |
| Node.js | v26.1.0 | major | language |
| Laravel | v13.9.0 | major | backend |
| Svelte | v5.55.7 | patch | frontend |
| NestJS | v11.1.21 | patch | backend |
| Docker | v29.5.0 | patch | infra |
| Vite (plugin-legacy) | plugin-legacy@8.0.2 | patch | tool |
| Next.js | v16.2.6 | prerelease | frontend |
| Vue | v3.5.34 | prerelease | frontend |
| Angular | v21.2.13 | prerelease | frontend |
メジャーリリースの詳細
Node.js v26.1.0 — 実験的 node:ffi モジュール
Node.js 26 系の最新リリースです。最大のトピックは実験的な node:ffi モジュールの追加で、JavaScript からネイティブ動的ライブラリを直接呼び出すことが可能になります。
主な変更点:
node:ffiモジュール追加(実験的) —--experimental-ffiフラグで有効化。Permission Model 利用時は--allow-ffiも必要。メモリ安全性の保証がないため本番利用には慎重な検討をbufferにendパラメータ追加(SEMVER-MINOR)crypto.diffieHellman()でキーデータを直接受け入れ可能に(SEMVER-MINOR)
Node.js 26 はまだ LTS 昇格前(2026年10月予定)の Current ラインです。本番環境には LTS の Node.js 24(v24.15.0)の利用を推奨します。
GitHub: https://github.com/nodejs/node/releases/tag/v26.1.0
Laravel v13.9.0 — コード品質改善
Laravel 13 系の最新リリースです。内部コードのモダナイゼーションが中心で、breaking changes はありません。
主な変更点:
- カスタム AWS クレデンシャルプロバイダ利用時の不具合修正
mb_splitをpreg_splitへ置換(マルチバイト処理の安定化)rand()からmt_rand()への置換(非推奨関数の解消)mt_srand()の非推奨mode引数を削除- スペースシップ演算子(
<=>)の積極活用によるコード簡素化
いずれも既存コードとの互換性に影響しない変更です。
GitHub: https://github.com/laravel/framework/releases/tag/v13.9.0
Astro @astrojs/mdx@5.0.6 — smartypants オプション修正
Astro の MDX インテグレーションのパッチリリースです(リリースタイプ表記は major ですが内容は patch 相当です)。smartypants オプションが無視されていた問題が修正されました。MDX 内の引用符やダッシュの自動変換を期待していた場合に影響します。
GitHub: https://github.com/withastro/astro/releases/tag/%40astrojs/mdx%405.0.6
セキュリティ修正 / プレリリース詳細
Next.js v16.2.6 — 高深刻度セキュリティ修正(要対応)
セキュリティバックポートリリースです。現在 App Router を利用しているすべてのプロジェクトが対象です。 新機能は含まれません。
修正された脆弱性(High):
- GHSA-8h8q-6873-q5fj — Server Components を利用した DoS(サービス停止)
- GHSA-267c-6grr-h53f — segment-prefetch ルート経由の Middleware / Proxy バイパス
- GHSA-26hh-7cqf-hhc6 — 上記バイパスの不完全な修正に対するフォローアップ
- GHSA-mg66-mrh9-m8jx — Cache Components の接続枯渇による DoS
- GHSA-492v-c6pp-mqqv — Middleware / Proxy バイパス(別経路)
Next.js 15 ユーザーはバックポート版(backport タグ: 15.5.18)も利用可能です。テスト環境での即時検証と本番適用を強く推奨します。
GitHub: https://github.com/vercel/next.js/releases/tag/v16.2.6
Docker v29.5.0 — CVE 修正と新機能追加
Docker の注目リリースです。セキュリティ修正に加え、いくつかの実用的な新機能が追加されています。
セキュリティ修正:
- CVE-2026-32288 — 悪意あるイメージの pull によるデーモン DoS を修正
新機能:
- コンテナにプライベート時間名前空間をデフォルトで有効化(対応カーネルのみ)
localロギングドライバがカスタム属性(label,env,tag等)をサポート- Windows: デーモンが Unix ソケットでのリッスン(
-H unix://)をサポート
GitHub: https://github.com/moby/moby/releases/tag/docker-v29.5.0
パッチリリース一覧
- Svelte v5.55.7 — XSS 脆弱性修正(
hydratable経由)、空属性名の禁止、正規表現ハードニング。SSR/ハイドレーション利用者は 即時アップデートを推奨 - NestJS v11.1.21 — スキップされたプロバイダの初期化処理を確定させる修正
- Vite plugin-legacy@8.0.2 — レガシーブラウザサポートプラグインのパッチ更新(詳細は CHANGELOG 参照)
プレリリース
- Vue v3.5.34 — Vue 3.5 系の最新安定版(beta: 3.6.0-beta.12)
- Angular v21.2.13 — ホストバインディングでのイベント属性バインディング禁止(セキュリティ強化)、
platform-serverにallowedHostsオプション追加
EOL / サポート期限情報
緊急:EOL が非常に近いプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 推奨移行先 |
|---|---|---|---|---|
| Angular | 19 | 2026-05-19 | 残り3日 | Angular 20 / 21 |
| Node.js | 25 (Current) | 2026-06-01 | 16日 | Node.js 24 LTS / 26 |
| Kubernetes | 1.33 | 2026-06-28 | 43日 | Kubernetes 1.34+ |
| Spring Boot | 3.5 | 2026-06-30 | 45日 | Spring Boot 4.0 |
| Nuxt | 3 | 2026-07-31 | 76日 | Nuxt 4 |
Angular 19 は 5月19日(火)でセキュリティパッチの提供が終了します。今週中に Angular 20(v20.3.21)または Angular 21(v21.2.13)への移行を完了させてください。Angular 20 はサポート終了が 2026年11月28日なのでまだ余裕があります。
Node.js 25 は16日後の6月1日に EOL。LTS の Node.js 24(v24.15.0)または最新の Node.js 26(v26.1.0)への切り替えを計画しましょう。
直近で EOL を迎えたプロダクト
| プロダクト | バージョン | EOL 日 | 経過 | 推奨移行先 |
|---|---|---|---|---|
| Tailwind CSS | 4.2 | 2026-05-08 | 8日経過 | Tailwind CSS 4.3 |
| Terraform | 1.13 | 2026-04-29 | 17日経過 | Terraform 1.14 / 1.15 |
| Rust | 1.94 | 2026-04-16 | 30日経過 | Rust 1.95 |
エコシステム動向
npm レジストリの注目動向
| パッケージ | latest | 備考 |
|---|---|---|
| next | 16.2.6 | セキュリティ修正含む。canary: 16.3.0-canary.20 |
| svelte | 5.55.7 | XSS修正含む |
| @angular/core | 21.2.13 | next: 22.0.0-rc.0 |
| react | 19.2.6 | canary: 19.3.0-canary |
| vue | 3.5.34 | beta: 3.6.0-beta.12 |
| nuxt | 4.4.5 | 3x: 3.21.5(メンテナンス) |
| astro | 6.3.3 | alpha: 7.0.0-alpha.1 |
| tailwindcss | 4.3.0 | v3-lts: 3.4.19 |
| TypeScript | 6.0.3 | rc: 6.0.1-rc |
| vite | 8.0.13 | — |
| @nestjs/core | 11.1.21 | next: 12.0.0-alpha.4 |
| prisma | 7.8.0 | dev: 7.9.0-dev.5 |
次期バージョンの動向
| プロダクト | 次期バージョン | ステージ |
|---|---|---|
| Angular | 22.0.0 | rc (22.0.0-rc.0) |
| NestJS | 12.0.0 | alpha (12.0.0-alpha.4) |
| Vue | 3.6.0 | beta (3.6.0-beta.12) |
| React | 19.3.0 | canary |
| Next.js | 16.3.0 | canary (16.3.0-canary.20) |
| Astro | 7.0.0 | alpha (7.0.0-alpha.1) |
PyPI レジストリ状況
| パッケージ | latest | Python 要件 |
|---|---|---|
| Django | 6.0.5 | 3.12 |
| Flask | 3.1.3 | 3.9 |
| FastAPI | 0.136.1 | 3.10 |
まとめ
本日の最優先対応は Next.js v16.2.6 のセキュリティアップデートです。App Router を利用しているすべてのプロジェクトで、Middleware バイパスや DoS の脆弱性が修正されており、今すぐテスト環境で検証・本番適用を進めてください。Docker v29.5.0 の CVE-2026-32288 修正も合わせて対応することをお勧めします。
Angular 19 の EOL まで残り3日(5月19日)です。Angular 20 または 21 への移行がまだの場合は今週中に完了させましょう。Node.js 26.1.0 の実験的 FFI モジュールや Laravel 13.9.0 の品質改善は breaking changes なしで安全に取り込めます。Svelte v5.55.7 の XSS 修正も SSR 利用者には重要です。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。