本日は監視対象リポジトリのうち7件で新リリースが確認されました。最大の注目はNext.js v16.2.6で、ミドルウェアバイパスやサーバーコンポーネントのDoSなど重大度Highのセキュリティ脆弱性が5件修正されています。またNode.js v26.2.0がリリースされ、Temporal.InstantのfsStats対応などSEMVER-MINORの新機能が追加されました。Node.js 25系は2026年6月1日にEOLを迎えるため、移行準備は急務です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Node.js | v26.2.0 | major | language |
| Astro (Cloudflare Adapter) | @astrojs/cloudflare@13.5.4 | major | frontend |
| Next.js | v16.2.6 | prerelease | frontend |
| Angular | v21.2.14 | prerelease | frontend |
| NestJS | v11.1.23 | patch | backend |
| Docker | v29.5.2 | patch | infra |
| Vite | v8.0.14 | patch | tool |
メジャーリリース詳細
Node.js v26.2.0 major
Node.js 26系の最新マイナーリリースです。以下のSEMVER-MINOR変更が含まれています。
stream.composeが安定版に昇格 — 実験的だったstream.composeAPIが正式安定版になりましたTemporal.InstantのfsStats対応 —StatsおよびBigIntStatsでTC39 Temporal APIとの統合が進みますhttp.writeInformationの追加 — 任意の1xxステータスコードを送信できる新メソッドが追加されました
マイグレーション時の注意点: v26はCurrentラインです。本番環境向けにはNode.js 24 LTSまたはNode.js 22 LTSを推奨します。
@astrojs/cloudflare v13.5.4 major
Astro Cloudflareアダプターのリリースです。ユーザー設定のoptimizeDepsがSSR/プリレンダー環境に転送されない問題を修正しています。
optimizeDeps設定のサーバー環境への転送 —exclude/include/esbuildOptions.loaderが正しく引き継がれるようになりました- 非標準ファイル拡張子(
.data等)のdev依存最適化エラーを解消 — 以前はVite 6がクライアント専用としてスコープするため無視されていた設定が機能するようになります
@astrojs/cloudflare v13.5.4のリリースページ
セキュリティリリース
Next.js v16.2.6 — 重大セキュリティバックポート prerelease
新機能を含まないセキュリティバックポートリリースです。重大度Highの脆弱性アドバイザリが5件修正されています。App Routerを利用中のプロジェクトは早急な対応を推奨します。
- GHSA-8h8q-6873-q5fj — Server ComponentsによるDoS
- GHSA-267c-6grr-h53f — segment-prefetchルート経由のミドルウェア/プロキシバイパス
- GHSA-26hh-7cqf-hhc6 — 上記修正の不完全な対処のフォローアップ
- GHSA-mg66-mrh9-m8jx — Cache Components使用アプリでの接続枯渇によるDoS
- GHSA-492v-c6pp-mqqv — ミドルウェア/プロキシバイパス(追加修正)
このリリースはcanaryの機能変更を含まない安全なバックポートです。npm update next でアップデートできます。
マイナー/パッチリリース一覧
- NestJS v11.1.23
patch—snapshot: true設定時にTerminus transient indicatorsが即座にインスタンス化される問題を修正 - Docker v29.5.2
patch— コンテナがシンボリックリンク(/var/run -> /run)を経由するバインドマウントを持つ場合のdocker cp失敗を修正 - Vite v8.0.14
patch— バグ修正(詳細はCHANGELOG参照) - Angular v21.2.14
prerelease— テンプレートコンパイル時の名前空間付きSVG scriptタグのサニタイズ、@Outputマイグレーション修正、リソースURLサニタイザーの大文字小文字非区別化
EOL / サポート期限情報
⚠️ Node.js 25 — EOLまで残り9日(2026年6月1日)
Node.js 25は2026年6月1日にサポート終了を迎えます。奇数番号ラインのためLTSへの昇格はなく、EOL後はセキュリティアップデートも提供されません。Node.js 24 LTS(v24.16.0)またはNode.js 26 Current(v26.2.0)への移行を推奨します。
| バージョン | ステータス | EOL日 |
|---|---|---|
| Node.js 26 | Current | 2029-04-30 |
| Node.js 25 | EOL間近 ⚠️ | 2026-06-01 |
| Node.js 24 | LTS(推奨) | 2028-04-30 |
| Node.js 22 | LTS | 2027-04-30 |
📅 EOL接近中(3ヶ月以内):
- Angular 19 — 2026年5月19日にEOL済み(v21がアクティブ)
- Kubernetes 1.33 — 2026年6月28日(残り36日)
- Spring Boot 3.5 — 2026年6月30日(残り38日)
エコシステム動向
npmレジストリの注目情報です。
- TypeScript — latestが
6.0.3で安定。nextタグに6.0.0-dev.20260416が配置されており、次期開発版が進行中 - React — latestは
19.2.6。next/canaryに19.3.0-canary-d5736f09-20260507が配置 - Angular —
nextタグに22.0.0-rc.1が配置。v22リリース候補が近づいています - NestJS —
nextタグに12.0.0-alpha.4が配置。次のメジャーバージョンが開発中
まとめ
本日最も緊急度が高いのはNext.js v16.2.6のセキュリティ修正です。App Routerを利用しているプロジェクトはミドルウェアバイパスやDoS脆弱性の影響を受ける可能性があるため、テスト環境で検証後、速やかなアップデートを推奨します。
また、Node.js 25のEOLまで残り9日です。まだ25系を使用している環境があれば、Node.js 24 LTSへの移行計画を今すぐ立ててください。Node.js v26.2.0はTemporal.InstantのfsStats対応など先進的な機能が追加されており、次のメジャーバージョンの準備として動向を追うのもよいでしょう。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。