【リリース日報】Docker・Next.js セキュリティ修正 + Angular 19 EOL到来 — 5件

項目	優先度	対応	影響対象	クイックアクション
Docker v29.5.1 docker cpセキュリティ修正 docker-29.5.1	high	対応必須	Docker利用者全般docker cpを使用する環境	docker cpを利用する環境でv29.5.1へ即時アップデート
Next.js v16.2.6 高深刻度セキュリティ修正 nextjs-16.2.6	high	対応必須	Next.js利用者App Router利用者Middleware利用者	npm install next@16.2.6 でテスト環境に適用後、本番環境へ反映
Nuxt v4.4.6 バグ修正パッチ nuxt-4.4.6	low	任意	Nuxt 4.x利用者	Vite・SSR利用環境でのアップデートを検討
Svelte 5.55.8 バグ修正パッチ svelte-5.55.8	low	任意	Svelte 5.x利用者	derived利用環境でのアップデートを検討
Astro @astrojs/yaml2ts@0.2.4 TypeScript v6対応 astro-yaml2ts-0.2.4	low	任意	Astro yaml2ts利用者	ユーザー側の変更は不要

本日は監視対象リポジトリのうち 5件でリリースが確認されました。最大の注目点は Docker v29.5.1 の重大なセキュリティ修正（docker cp ホストroot権限昇格 CVE）と、Angular 19 が本日（2026年5月19日）をもってサポート終了を迎えたことです。Next.js v16.2.6 の高深刻度セキュリティ修正は引き続き最優先対応が必要です。

リリースサマリー

フレームワーク	バージョン	タイプ	カテゴリ
Docker	v29.5.1	patch	infra
Next.js	v16.2.6	prerelease	frontend
Nuxt	v4.4.6	patch	frontend
Svelte	5.55.8	patch	frontend
Astro @astrojs/yaml2ts	0.2.4	patch	frontend

セキュリティリリース詳細

Docker v29.5.1 — docker cp の重大な脆弱性を修正

patch security

Docker Engine v29.5.1 が、docker cp コマンドに関する2件のセキュリティ脆弱性を修正しました。

CVE-2026-41567 — ホストroot権限でのコード実行

アーカイブ解凍バイナリ（xz、unpigz など）がコンテナファイルシステム内の PATH から解決されていたため、悪意あるコンテナがホストroot権限で任意のバイナリを実行できる脆弱性です。docker cp を利用するすべての環境に影響します。GHSA-x86f-5xw2-fm2r

CVE-2026-41568 — docker cp における TOCTOU 脆弱性

コンテナプロセスがホストファイルシステムの任意の場所にファイルやディレクトリを作成できる TOCTOU（Time-Of-Check Time-Of-Use）競合条件の脆弱性です。

docker cp を使用する環境は v29.5.1 への即時アップデートを強く推奨します。

# Docker Desktop の場合
# アプリ内の「Check for Updates」からアップデート

# Ubuntu / Debian (apt)
sudo apt-get update && sudo apt-get install docker-ce=5:29.5.1-1~ubuntu.24.04~noble

# RHEL / CentOS (yum/dnf)
sudo yum update docker-ce-29.5.1

GitHub リリース: https://github.com/moby/moby/releases/tag/docker-v29.5.1

Next.js v16.2.6 — 高深刻度セキュリティ修正（継続）

prerelease security High×5

Next.js v16.2.6 は高深刻度セキュリティ脆弱性5件を修正したバックポートリリースです。前日（5/18）から引き続き最優先対応が必要です。v16.2.5 にアップデート済みの環境でも v16.2.6 への更新が必要です。

修正された脆弱性（いずれも High 深刻度）:

GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
GHSA-267c-6grr-h53f — segment-prefetch 経由 Middleware / Proxy バイパス
GHSA-26hh-7cqf-hhc6 — 上記の不完全修正フォローアップ
GHSA-mg66-mrh9-m8jx — Cache Components による接続枯渇 DoS
GHSA-492v-c6pp-mqqv — 動的ルートパラメータ経由 Middleware / Proxy バイパス

npm install next@16.2.6

GitHub リリース: https://github.com/vercel/next.js/releases/tag/v16.2.6

その他のリリース

Nuxt v4.4.6 — バグ修正パッチ

Nuxt v4.4.5 からのパッチリリース。Vite、Nuxt コア、Nitro に関する複数のバグ修正が含まれます。

vite: SPA エントリの vite-node フォールバック修正
vite: プラグインフック経由のモジュール無効化時に SSR モジュールキャッシュが正しくクリアされない問題を修正
nuxt: JSX ブロック内の resolveComponent 重複呼び出し検出を改善
nuxt: watch: false 時でも useFetch のキーが更新されるよう修正
nitro: @babel/plugin-syntax-typescript をオプションのピア依存に変更
nitro: ペイロードキャッシュアイテムへの JSON 拡張子追加

GitHub リリース: https://github.com/nuxt/nuxt/releases/tag/v4.4.6

Svelte 5.55.8 — バグ修正パッチ

リアクティビティと出力処理に関するバグ修正です。

svelte:body の印刷処理とキーフレームパーセンテージの二重印刷を修正
破棄された derived が未初期化でも実行される問題を修正
名前付きシンボルをすべての箇所で使用するよう統一
run 内でのコンテキスト同期解除を修正

GitHub リリース: https://github.com/sveltejs/svelte/releases/tag/svelte%405.55.8

Astro @astrojs/yaml2ts@0.2.4 — TypeScript v6 対応

TypeScript を v6 へ更新。ユーザー側の変更は不要です。

GitHub リリース: https://github.com/withastro/astro/releases/tag/%40astrojs/yaml2ts%400.2.4

EOL / サポート期限情報

🚨 Angular v19 — 本日（2026年5月19日）EOL 到来

Angular v19 のサポートが本日終了しました。 セキュリティパッチの提供が終了しています。Angular 19 系を本番環境で稼働させているプロジェクトは、早急に移行先バージョンへの切り替えを進めてください。

サイクル	最新バージョン	ステータス	EOL 日
21	21.2.13	active	2027-05-19
20	20.3.21	active	2026-11-28
19	19.2.22	EOL（本日）	2026-05-19
18	18.2.14	EOL	2025-11-21
17	17.3.12	EOL	2025-05-15

移行先の選択:

Angular v21（推奨）: npm install @angular/core@21.2.13。EOL まで約1年（2027-05-19）。npm の next タグに v22.0.0-rc.0 も登場しており、v22 RC の評価も開始できます
Angular v20: npm install @angular/core@20.3.21。2026-11-28 まで。v19 からの移行コストが比較的小さい場合の選択肢

⚠️ Node.js v25 — 2026年6月1日 EOL（残り13日）

Node.js v25（奇数バージョン・非LTS）は13日後にサポート終了。本番環境では LTS である Node.js 26 または Node.js 24 への移行を推奨します。

サイクル	ステータス	EOL / LTS 入り	備考
26	active	LTS: 2026-10-01	最新 Current
25	approaching	EOL: 2026-06-01	⚠️ 13日後
24	active (LTS)	EOL: 2028-04-30	推奨 LTS
22	active (LTS)	EOL: 2027-04-30	推奨 LTS

⚠️ Kubernetes v1.33 — 2026年6月28日 EOL（残り40日）

v1.34（latest: 1.34.8）、v1.35（latest: 1.35.5）、v1.36（latest: 1.36.1）への移行を計画してください。

⚠️ Spring Boot 3.5 — 2026年6月30日 EOL（残り42日）

Spring Boot 4.0（latest: 4.0.6）への移行を準備してください。

⚠️ Nuxt v3 — 2026年7月31日 EOL（残り73日）

Nuxt 4（latest: 4.4.6）への移行準備を進めてください。今回の Nuxt v4.4.6 リリースで安定性がさらに向上しています。

エコシステム動向

npm / PyPI レジストリ注目バージョン

パッケージ	latest	注目
next	16.2.6	セキュリティ修正。canary: 16.3.0-canary.22
nuxt	4.4.6	本日アップデート
svelte	5.55.8	本日アップデート
astro	6.3.4	@astrojs/yaml2ts は TypeScript v6 対応
react	19.2.6	canary: 19.3.0-canary
@angular/core	21.2.13	next: 22.0.0-rc.0
vue	3.5.34	beta: 3.6.0-beta.12
typescript	6.0.3	安定版
tailwindcss	4.3.0	v3-lts: 3.4.19
vite	8.0.13	安定版
prisma	7.8.0	dev: 7.9.0-dev.5

注目動向:

Angular v22 RC — @angular/core@next に v22.0.0-rc.0 が登録。Angular 19 EOL のタイミングで v22 評価を始めるのも選択肢
Vue 3.6.0 beta — 3.6.0-beta.12 が進行中。Vapor モード搭載予定
Nuxt v4.4.6 — 本日リリース。Vite/SSR の安定性が向上

まとめ

本日の最優先アクションは Docker v29.5.1 へのアップデートです。docker cp を使用する環境でホストroot権限での任意コード実行を可能にする CVE（CVE-2026-41567）が修正されています。即座の対応を推奨します。

また、Angular v19 が本日 EOL を迎えました。移行が未完了のプロジェクトは Angular v21 への切り替えを急いでください。Node.js v25 も13日後（6/1）にサポート終了を迎えます。

Next.js v16.2.6 のセキュリティ修正は引き続き最重要です。Nuxt v4.4.6・Svelte 5.55.8 はパッチリリースとして安定して利用できます。

データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。