つみかさね

【リリース日報】Dockerセキュリティパッチ継続・Astro 6.3.5 CSP修正ほか5件

2026-05-20データソース: GitHub Releases, endoflife.date, npm, PyPI
Major
0
Minor
0
Patch
4
Prerelease
1

対応判断サマリー

high対応必須
Docker v29.5.1 docker cpセキュリティ修正
docker-29.5.1
docker cpを利用する環境でv29.5.1へ即時アップデート
high対応必須
Next.js v16.2.6 高深刻度セキュリティ修正
nextjs-16.2.6
npm install next@16.2.6 でテスト環境に適用後、本番環境へ反映
medium推奨
Astro 6.3.5 Image/Picture CSP破壊バグ修正
astro-6.3.5
CSP設定している環境でのアップデートを推奨
low任意
Nuxt v4.4.6 バグ修正パッチ
nuxt-4.4.6
Vite・SSR利用環境でのアップデートを検討
low任意
Svelte 5.55.8 バグ修正パッチ
svelte-5.55.8
derived利用環境でのアップデートを検討
DockerNext.jsAstroNuxtSvelteセキュリティEOL

本日は監視対象リポジトリのうち 5件 でリリースが確認されました。Docker v29.5.1docker cp ホストroot権限昇格 CVE(CVE-2026-41567/41568)および Next.js v16.2.6 の高深刻度セキュリティ修正は引き続き最優先対応が必要です。また Astro 6.3.5 では <Image> / <Picture> コンポーネントの CSP を破壊するバグが修正されました。Angular 19 は昨日(2026年5月19日)EOL を迎えており、未移行のプロジェクトは早急な対応が必要です。

リリースサマリー

フレームワークバージョンタイプカテゴリ
Dockerv29.5.1patchinfra
Next.jsv16.2.6prereleasefrontend
Astro6.3.5patchfrontend
Nuxtv4.4.6patchfrontend
Svelte5.55.8patchfrontend

セキュリティリリース詳細

Docker v29.5.1 — docker cp の重大な脆弱性を修正

patch security

Docker Engine v29.5.1 は docker cp コマンドに関する 2 件のセキュリティ脆弱性を修正しています。docker cp を使用する環境では即時アップデートを強く推奨します。

CVE-2026-41567 — ホストroot権限でのコード実行

アーカイブ解凍バイナリ(xzunpigz など)がコンテナ側の PATH から解決されていたため、悪意あるコンテナがホストroot権限で任意のバイナリを実行できる脆弱性。docker cp を使用するすべての環境が影響対象です。GHSA-x86f-5xw2-fm2r

CVE-2026-41568 — docker cp の TOCTOU 競合条件

コンテナプロセスがホストファイルシステム上の任意の場所にファイルやディレクトリを作成できる Time-Of-Check Time-Of-Use 脆弱性。

# Ubuntu / Debian
sudo apt-get update && sudo apt-get install docker-ce=5:29.5.1-1~ubuntu.24.04~noble

# RHEL / CentOS
sudo yum update docker-ce-29.5.1

GitHub リリース: https://github.com/moby/moby/releases/tag/docker-v29.5.1

Next.js v16.2.6 — 高深刻度セキュリティ修正5件(継続対応中)

prerelease security High×5

Next.js v16.2.6 は高深刻度セキュリティ脆弱性 5 件を修正したバックポートリリースです。App Router / Middleware / Cache Components を使用するすべての Next.js プロジェクトが影響対象です。v16.2.5 以前からの更新が必要です。

  • GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
  • GHSA-267c-6grr-h53f — segment-prefetch 経由 Middleware / Proxy バイパス
  • GHSA-26hh-7cqf-hhc6 — 上記バイパスの不完全修正フォローアップ
  • GHSA-mg66-mrh9-m8jx — Cache Components による接続枯渇 DoS
  • GHSA-492v-c6pp-mqqv — 動的ルートパラメータ経由 Middleware / Proxy バイパス
npm install next@16.2.6
# Next.js 15 系の場合
npm install next@15.5.18

GitHub リリース: https://github.com/vercel/next.js/releases/tag/v16.2.6

その他のリリース

Astro 6.3.5 — Image/Picture の CSP 破壊バグを修正

patch

CSP(Content Security Policy)を厳密に設定している Astro プロジェクトで <Image> / <Picture> コンポーネントの position プロパティが CSP を破壊する不具合が修正されました。CSP 設定をしている環境は早めの適用を推奨します。

  • <Image> / <Picture>position プロパティによる CSP 破壊を修正
  • エラーメッセージの表記を統一・改善
  • モノレポ環境などでプロジェクトルート外の SSR モジュール変更が dev サーバーで反映されない問題を修正
npm install astro@6.3.5

GitHub リリース: https://github.com/withastro/astro/releases/tag/astro%406.3.5

Nuxt v4.4.6 — Vite・SSR・useFetch バグ修正パッチ

patch

Nuxt コアと周辺レイヤーにわたる複数のバグ修正です(リリースノートに「next patch release」と明記)。

  • vite: SPA エントリの vite-node フォールバック修正
  • vite: プラグインフック経由モジュール無効化時の SSR キャッシュクリア修正
  • nuxt: JSX ブロック内 resolveComponent 重複呼び出し検出の改善
  • nuxt: watch: false 時の useFetch キー更新修正
  • nitro: ペイロードキャッシュアイテムへの JSON 拡張子追加

GitHub リリース: https://github.com/nuxt/nuxt/releases/tag/v4.4.6

Svelte 5.55.8 — リアクティビティ修正パッチ

patch

  • svelte:body とキーフレームパーセンテージの二重印刷を修正
  • 破棄後の未初期化 derived が実行される問題を修正
  • run 内でのコンテキスト同期解除を修正

GitHub リリース: https://github.com/sveltejs/svelte/releases/tag/svelte%405.55.8

EOL / サポート期限情報

🚨 Angular v19 — 2026年5月19日 EOL 到来済み

Angular v19 は昨日(2026年5月19日)サポートが終了しました。 セキュリティパッチの提供は終了しています。Angular 19 を本番環境で稼働させているプロジェクトは早急な移行が必要です。

サイクル最新バージョンステータスEOL 日
2121.2.13active2027-05-19
2020.3.21active2026-11-28
1919.2.22EOL2026-05-19
1818.2.14EOL2025-11-21

移行先推奨: Angular v21。npm の next タグに v22.0.0-rc.0 が登録されており、v22 の先行評価も開始できます。

npm install @angular/core@21.2.13

⚠️ Node.js v25 — 2026年6月1日 EOL(残り12日

Node.js v25(奇数バージョン・非 LTS)は 12 日後にサポート終了です。本番環境では LTS への移行を強く推奨します。

サイクルステータスEOL備考
26activeLTS: 2026-10-01最新 Current
25approaching2026-06-01⚠️ 残り12日
24active (LTS)2028-04-30推奨 LTS
22active (LTS)2027-04-30推奨 LTS

⚠️ Kubernetes v1.33 — 2026年6月28日 EOL(残り39日)

v1.34(latest: 1.34.8)、v1.35(latest: 1.35.5)、v1.36(latest: 1.36.1)への移行を計画してください。

⚠️ Spring Boot 3.5 — 2026年6月30日 EOL(残り41日)

Spring Boot 4.0(latest: 4.0.6)への移行準備を進めてください。

⚠️ Nuxt v3 — 2026年7月31日 EOL(残り72日)

Nuxt 4(latest: 4.4.6)への移行準備を進めてください。今回の v4.4.6 で Vite・SSR の安定性がさらに向上しています。

エコシステム動向

npm / PyPI レジストリ 注目バージョン

パッケージlatest注目
next16.2.6セキュリティ修正済み。canary: 16.3.0-canary.23
astro6.3.5CSP 修正済み
nuxt4.4.6Vite / SSR 安定性向上
svelte5.55.8リアクティビティ修正
react19.2.6canary: 19.3.0-canary
@angular/core21.2.13next: 22.0.0-rc.0
vue3.5.34beta: 3.6.0-beta.12
typescript6.0.3安定版
tailwindcss4.3.0v3-lts: 3.4.19
vite8.0.13安定版
prisma7.8.0dev: 7.9.0-dev.6

注目動向:

  • Angular v22 RC@angular/core@next に v22.0.0-rc.0 が登録。Angular 19 EOL のタイミングで v22 評価開始も選択肢
  • Vue 3.6.0 beta — 3.6.0-beta.12 が進行中。Vapor モード搭載予定
  • TypeScript 6.0.3 — 安定版として npm latest に到達済み

まとめ

本日の最優先アクションは Docker v29.5.1 へのアップデートNext.js v16.2.6 への更新です。Docker の CVE-2026-41567 は docker cp 経由でコンテナがホストroot権限を奪取できる重大な脆弱性であり、即時対応が必要です。

Astro 6.3.5 は CSP 設定を破壊するバグが修正されています。<Image> / <Picture> コンポーネントを使用し CSP を設定している環境では早めの適用を推奨します。

また、Angular v19 は昨日 EOL を迎えました。Angular v21 への移行が未完了の場合は早急に進めてください。Node.js v25 は残り12日でサポートが終了します。本番環境では v24 または v22 LTS に移行してください。

データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。