【リリース日報】Next.js v16.2.6セキュリティ修正・Node.js v26.2.0ほか7件

項目	優先度	対応	影響対象	クイックアクション
Next.js v16.2.6 セキュリティリリース nextjs-16.2.6	high	対応必須	Next.js利用者App Router利用者Middleware利用者	npm install next@16.2.6 でアップデート
Node.js v26.2.0 新機能追加 nodejs-26.2.0	medium	推奨	Node.js 26利用者	Node.js 26.2.0にアップデートしてTemporal.Instantを活用
Angular v21.2.14 セキュリティ修正 angular-21.2.14	high	推奨	Angular利用者	ng update @angular/core@21.2.14 @angular/cli@21.2.14
Astro @astrojs/cloudflare@13.5.4 astro-13.5.4	low	任意	Astro + Cloudflareアダプター利用者	npm install @astrojs/cloudflare@13.5.4
NestJS v11.1.23 バグ修正 nestjs-11.1.23	low	任意	NestJS + Terminus利用者	npm install @nestjs/core@11.1.23
Docker v29.5.2 バグ修正 docker-29.5.2	low	任意	Docker利用者	Docker最新版へアップデート
Vite v8.0.14 パッチ vite-8.0.14	low	任意	Vite利用者	npm install vite@8.0.14

本日は監視対象7リポジトリで新リリースが確認されました。最大の注目点はNext.js v16.2.6のセキュリティリリースで、MiddlewareバイパスやServer ComponentsのDoSを含む複数のHigh severity CVEが修正されています。Node.js v26.2.0ではTemporal.InstantのfsサポートやHTTP 1xxレスポンスAPIが新たに追加されました。

リリースサマリー

フレームワーク	バージョン	タイプ	カテゴリ
Next.js	v16.2.6	prerelease	frontend
Node.js	v26.2.0	major	language
Angular	v21.2.14	prerelease	frontend
Astro (Cloudflare)	@astrojs/cloudflare@13.5.4	major	frontend
NestJS	v11.1.23	patch	backend
Docker	v29.5.2	patch	infra
Vite	v8.0.14	patch	tool

注目リリースの詳細

Next.js v16.2.6 — セキュリティリリース

prereleaseタグですが、セキュリティ修正とバグ修正のバックポートを含む安定版メンテナンスリリースです。canaryの新機能は含まれていません。以下のHigh severityアドバイザリが対応されています：

GHSA-8h8q-6873-q5fj: Server ComponentsによるDenial of Service
GHSA-267c-6grr-h53f: segment-prefetch routes経由のApp RouterにおけるMiddleware / Proxyバイパス
GHSA-26hh-7cqf-hhc6: 上記の不完全修正に対するフォローアップ
GHSA-mg66-mrh9-m8jx: Cache Componentsのコネクション枯渇によるDenial of Service
その他、Middleware / Proxyバイパスに関する追加修正

App RouterやMiddlewareを利用しているプロジェクトは速やかなアップデートを推奨します。リバースプロキシ環境では、アクセス制御がバイパスされる可能性があります。

Node.js v26.2.0

Node.js 26（Current）の新バージョンです。SEMVER-MINORの追加のみで破壊的変更はありません。

stream.composeがStableに昇格 — ドキュメント上でstableとしてマーク。本番環境での利用が推奨される状態に
fs.Stats / BigIntStatsにTemporal.Instantサポート追加 — TC39 Temporal APIでファイルタイムスタンプを操作可能に
http.writeInformation()追加 — 任意の1xxステータスコードをサーバーから送信可能に

Angular v21.2.14

コンパイラとコアのバグ修正リリースです。セキュリティ関連の修正が複数含まれています。

compiler: テンプレートコンパイル時に名前空間付きSVG scriptエレメントをサニタイズ
core: リソースURLサニタイザーの大文字小文字区別を統一
core: scriptエレメントを動的コンポーネントホストとして拒否するよう修正
core: void @Outputマイグレーション時に不要なコメントが挿入される問題を修正

マイナー / パッチリリース

Astro @astrojs/cloudflare@13.5.4: SSR/prerender環境へoptimizeDeps設定（exclude / include / esbuildOptions.loader）を転送するよう修正。Vite 6でクライアント専用になったvite.optimizeDepsがサーバー環境で無視される問題を解消。.dataファイルなど非標準ファイルタイプでdev-mode時にエラーが発生していた方は対象です。
NestJS v11.1.23: snapshot: true設定時にTerminus transient indicatorsが即時インスタンス化されるリグレッション（v11.1.20起因）を修正。
Docker v29.5.2: docker cpでコンテナ内にシンボリックリンクを経由するバインドマウントがある場合にmkdirat: file existsエラーが発生する問題を修正（例: /var/run -> /run）。
Vite v8.0.14: パッチリリース。詳細はCHANGELOG.mdを参照。

EOL / サポート期限情報

サポート終了が近づいているバージョン

プロダクト	バージョン	EOL日	残り日数
Node.js	25	2026-06-01	⚠️ 約10日
Kubernetes	1.33	2026-06-28	約37日
Spring Boot	3.5	2026-06-30	約39日
Nuxt	3	2026-07-31	約70日
Rails	7.2	2026-08-09	約79日

最近EOLになったバージョン

Angular 19 (EOL: 2026-05-19 — 3日前): v20またはv21へのアップグレードを推奨
Next.js 14 (EOL: 2025-10-26): v15またはv16（LTS）への移行を推奨
Tailwind CSS 4.2 (EOL: 2026-05-08): v4.3への移行を推奨

Node.js 25ユーザーへ: 2026-06-01にサポート終了です。安定性重視ならv24 LTS（EOL: 2028-04-30）、最新機能を使いたいならv26 Current（2026-10-28にLTS昇格予定）への移行を今すぐ計画しましょう。

エコシステム動向

npm registryの主要パッケージ動向：

React: stable 19.2.6、canary 19.3.0-canary-d5736f09
Vue: stable 3.5.34、beta 3.6.0-beta.12（Vue 3.6開発中）
Angular: next dist-tag 22.0.0-rc.1（Angular 22 RC進行中）
TypeScript: stable 6.0.3
Prisma: stable 7.8.0
Tailwind CSS: stable 4.3.0（v4.2はEOL済み）

まとめ

本日の最重要アクションはNext.js v16.2.6へのアップデートです。複数のHigh severity CVEが修正されており、App RouterやMiddlewareを使用しているプロジェクトは速やかな対応が必要です。Node.js 25のEOLまで残り約10日となりました。v24 LTSまたはv26 Currentへの移行計画を今すぐ立てましょう。Nuxt 3やKubernetes 1.33もサポート期限が近づいており、計画的なアップグレードを推奨します。

データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。