本日は監視対象リポジトリのうち 6件 でリリースが確認されました。新リリースの注目は Node.js v26.2.0 で、fs.Stats / BigIntStats への Temporal.Instant 対応と http.writeInformation() API が SEMVER-MINOR として追加されました。また Next.js v16.2.6 の High 深刻度セキュリティ修正 5 件は昨日からの継続アラートとして、未対応のプロジェクトは早急な適用をお願いします。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Next.js | v16.2.6 | prerelease | frontend |
| Node.js | v26.2.0 | minor | language |
| Astro | 6.3.6 | patch | frontend |
| Laravel | v13.11.2 | patch | backend |
| Terraform | v1.15.4 | patch | infra |
| Svelte | 5.55.9 | patch | frontend |
セキュリティリリース詳細
Next.js v16.2.6 — High 深刻度セキュリティ修正継続
prerelease security High×5
Next.js v16.2.6 は High 深刻度セキュリティ脆弱性 5 件を修正したバックポートリリースです。App Router・Middleware・Cache Components を使用するすべての Next.js プロジェクトが影響対象です。
- GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
- GHSA-267c-6grr-h53f — segment-prefetch 経由 Middleware / Proxy バイパス
- GHSA-26hh-7cqf-hhc6 — 上記バイパスの不完全修正フォローアップ
- GHSA-mg66-mrh9-m8jx — Cache Components による接続枯渇 DoS
- GHSA-492v-c6pp-mqqv — 動的ルートパラメータ経由 Middleware / Proxy バイパス
npm install next@16.2.6
# Next.js 15 系の場合
npm install next@15.5.18
GitHub リリース: https://github.com/vercel/next.js/releases/tag/v16.2.6
注目リリース詳細
Node.js v26.2.0 — Temporal.Instant 対応・HTTP 1xx 送信 API 追加
minor SEMVER-MINOR
Node.js v26.2.0 は v26 Current ラインの SEMVER-MINOR アップデートです。ECMAScript の Temporal API と Node.js 組み込みモジュールの統合が進み、ファイルシステム操作で Temporal.Instant が利用可能になりました。
主な変更点:
fs:Temporal.Instant対応(SEMVER-MINOR)—fs.StatsおよびBigIntStatsのatime・mtime・ctime・birthtimeフィールドでTemporal.Instantを受け付けるようになりました。PR #60789http:writeInformation()追加(SEMVER-MINOR)— 任意の HTTP 1xx ステータスコードを送信できるresponse.writeInformation(statusCode, headers?)API が追加。103 Early Hints送信に活用できます。PR #63155stream.composeがステーブルに — 以前は実験的扱いだったstream.composeが安定 API としてマークされました。PR #62562
# nvm
nvm install 26.2.0 && nvm use 26.2.0
# volta
volta install node@26.2.0
GitHub リリース: https://github.com/nodejs/node/releases/tag/v26.2.0
その他のリリース
Astro 6.3.6 — Markdown alt 属性・HMR バグ修正
patch
- Markdown 空 alt 属性の保持 —
のような空 alt 画像でalt=""属性がレンダリング結果からドロップされるアクセシビリティバグを修正。PR #16774 - HMR 古いコンテンツ配信の修正 —
getStaticPaths()経由で props として渡されたコンポーネントで HMR が古いコンテンツを返す問題を修正。PR #16776
npm install astro@6.3.6
GitHub リリース: https://github.com/withastro/astro/releases/tag/astro%406.3.6
Laravel v13.11.2 — ライフサイクル・キュー起動タイミング修正
patch
- ライフサイクル Deferred イベントメソッドの修正 — PR #60190
- Managed Queue のサービスプロバイダー起動前の初期化 — サービスプロバイダーが boot する前に managed queues が正しく起動するよう修正。PR #60198
composer update laravel/framework
GitHub リリース: https://github.com/laravel/framework/releases/tag/v13.11.2
Terraform v1.15.4 — Linux s390x 対応・symlink バグ修正
patch
- 新機能: Linux s390x(zLinux)ビルドのリリース — IBM System z 向け公式ビルドが提供開始。Issue #38615
- symlink ディレクトリへのプロバイダーバイナリインストール防止 —
terraform initでシンボリックリンクされたディレクトリに誤ってプロバイダーバイナリがインストールされる問題を修正。Issue #38611
tfenv install 1.15.4 && tfenv use 1.15.4
GitHub リリース: https://github.com/hashicorp/terraform/releases/tag/v1.15.4
Svelte 5.55.9 — #await・SSR・リアクティビティ修正
patch
{#await ...}promise 呼び出し時にバッチがリセットされる問題を修正{#await await ...}式をサーバーで promise 化し、クライアントで正しくハイドレーションするよう修正- init/update サイクル外で追加された依存関係の重複を排除
- バッチ不変条件エラーの誤検知を修正
- SSR でのインライン primitive 定数の属性値処理を修正
npm install svelte@5.55.9
GitHub リリース: https://github.com/sveltejs/svelte/releases/tag/svelte%405.55.9
EOL / サポート期限情報
⚠️ Node.js v25 — 2026年6月1日 EOL(残り11日)
Node.js v25(奇数バージョン・非 LTS)は 11日後 にサポートが終了します。本番環境では早急に LTS または Current への移行を強く推奨します。
| サイクル | ステータス | EOL | 備考 |
|---|---|---|---|
| 26 | active | LTS: 2026-10-01 | 最新 Current |
| 25 | approaching | 2026-06-01 | ⚠️ 残り11日 |
| 24 | active (LTS) | 2028-04-30 | 推奨 LTS |
| 22 | active (LTS) | 2027-04-30 | 推奨 LTS |
移行先推奨: Node.js v24 LTS(安定性重視)または v26 Current(最新機能)
# Node.js 25 から 24 LTS への移行(nvm)
nvm install 24 && nvm use 24 && nvm alias default 24
🚨 Angular v19 — 2026年5月19日 EOL 到来済み
Angular v19 は2026年5月19日にサポートが終了しました。セキュリティパッチは提供されなくなっています。Angular 19 を本番環境で稼働させているプロジェクトは早急に v21 以上への移行が必要です。
| サイクル | 最新バージョン | ステータス | EOL 日 |
|---|---|---|---|
| 21 | 21.2.13 | active | 2027-05-19 |
| 20 | 20.3.21 | active | 2026-11-28 |
| 19 | 19.2.22 | EOL | 2026-05-19 |
| 18 | 18.2.14 | EOL | 2025-11-21 |
⚠️ Kubernetes v1.33 — 2026年6月28日 EOL(残り38日)
v1.34 / v1.35 / v1.36 への移行を計画してください。
⚠️ Spring Boot 3.5 — 2026年6月30日 EOL(残り40日)
Spring Boot 4.0(latest: 4.0.6)への移行準備を進めてください。
⚠️ Nuxt v3 — 2026年7月31日 EOL(残り71日)
Nuxt 4(latest: 4.4.6)への移行準備を進めてください。
エコシステム動向
npm / PyPI レジストリ 注目バージョン
| パッケージ | latest | 注目 |
|---|---|---|
| next | 16.2.6 | セキュリティ修正済み。canary: 16.3.0-canary.24 |
| astro | 6.3.6 | Markdown alt 属性 / HMR 修正 |
| svelte | 5.55.9 | #await / SSR リアクティビティ修正 |
| react | 19.2.6 | canary: 19.3.0-canary |
| vue | 3.5.34 | beta: 3.6.0-beta.12(Vapor モード搭載予定) |
| typescript | 6.0.3 | dev: 6.0.0-dev.20260416 |
| @nestjs/core | 11.1.21 | next: 12.0.0-alpha.4 |
| vite | 8.0.13 | 安定版 |
| tailwindcss | 4.3.0 | v3-lts: 3.4.19 |
| prisma | 7.8.0 | dev: 7.9.0-dev.6 |
| Django (PyPI) | 6.0.5 | Python >= 3.12 |
注目動向:
- Node.js 26.2.0 リリース —
Temporal.Instantの組み込み対応が拡大。TC39 の Temporal Proposal 実装が着実に進行中 - Angular v22 RC —
@angular/core@nextに v22.0.0-rc.0 が登録。Angular 19 EOL のタイミングで v22 評価開始も選択肢 - Vue 3.6.0 beta — 3.6.0-beta.12 が進行中。Vapor モード(仮想 DOM 廃止の最適化モード)搭載予定
まとめ
本日の最優先アクションは Next.js v16.2.6 のセキュリティ修正の適用です。App Router や Middleware を使用するプロジェクトでは DoS・バイパス脆弱性のリスクがあり、テスト環境で検証後に即時の本番反映を推奨します。
新機能の観点では Node.js v26.2.0 が注目です。Temporal.Instant の fs.Stats 対応で日時操作の精度と表現力が向上します。stream.compose も安定 API となったため、ストリーム処理の実装に安心して活用できます。
Node.js 25 は残り 11 日で EOL です。v24 LTS または v26 Current への移行がまだの方は今週中の作業完了を目指してください。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。