本日は監視対象リポジトリのうち3件で新リリースが確認されました。最大の注目はAngular v21.2.14で、SVGテンプレートのスクリプトインジェクション対策やリソースURLサニタイザーの修正など、セキュリティ関連の変更が複数含まれています。またNext.js v16.2.6の重大セキュリティ修正への対応がまだの方はお早めに。Node.js 25系はEOLまで残り8日です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Angular | v21.2.14 | major | frontend |
| NestJS | v11.1.23 | patch | backend |
| Next.js | v16.2.6 | prerelease | frontend |
メジャーリリース詳細
Angular v21.2.14 major
Angular v21系の最新リリースです。今回はセキュリティ関連の修正が複数含まれており、Angular 21を利用しているプロジェクトへの早めのアップデートを推奨します。
- 名前空間付きSVG scriptタグのサニタイズ — テンプレートコンパイル時に名前空間付きSVGの
script要素を除去するようになりました。XSS攻撃経路の一つを塞ぐセキュリティ修正です @Output()voidマイグレーション修正 —void型の@Outputをマイグレーションする際に不要なTODOコメントが挿入されていたバグを修正- リソースURLサニタイザーの大文字小文字非区別化 — URLサニタイザーのルックアップが大文字小文字を区別しない形に修正され、セキュリティポリシーの適用漏れを防ぎます
- 動的コンポーネントホストとしての
script要素拒否 —script要素を動的コンポーネントのホストとして使用できないよう制限されました
マイグレーション時の注意点: Angular 19は2026年5月19日にEOLを迎えました。まだv19系を使用している場合は、v21系への移行を計画してください。
セキュリティリリース
Next.js v16.2.6 — 重大セキュリティバックポート prerelease
今週リリースされた、新機能を含まないセキュリティバックポートリリースです。重大度Highの脆弱性アドバイザリが5件修正されています。App Routerを利用中のプロジェクトは早急な対応を推奨します。
- GHSA-8h8q-6873-q5fj — Server ComponentsによるDoS
- GHSA-267c-6grr-h53f — segment-prefetchルート経由のミドルウェア/プロキシバイパス
- GHSA-26hh-7cqf-hhc6 — 上記修正の不完全な対処のフォローアップ
- GHSA-mg66-mrh9-m8jx — Cache Components使用アプリでの接続枯渇によるDoS
- GHSA-492v-c6pp-mqqv — ミドルウェア/プロキシバイパス(追加修正)
npm update next でアップデートできます。
マイナー/パッチリリース一覧
- NestJS v11.1.23
patch—snapshot: true設定時にTerminus transient indicatorsが即座にインスタンス化される問題を修正
EOL / サポート期限情報
⚠️ Node.js 25 — EOLまで残り8日(2026年6月1日)
Node.js 25は2026年6月1日にサポート終了を迎えます。奇数番号ラインのためLTSへの昇格はなく、EOL後はセキュリティアップデートも提供されません。Node.js 24 LTS(v24.16.0)またはNode.js 26 Current(v26.2.0)への移行を推奨します。
| バージョン | ステータス | EOL日 |
|---|---|---|
| Node.js 26 | Current | 2029-04-30 |
| Node.js 25 | EOL間近 ⚠️ | 2026-06-01 |
| Node.js 24 | LTS(推奨) | 2028-04-30 |
| Node.js 22 | LTS | 2027-04-30 |
📅 EOL接近中(3ヶ月以内):
- Angular 19 — 2026年5月19日にEOL済み。Angular v21がアクティブサポート中のため、移行を急ぎましょう
- Kubernetes 1.33 — 2026年6月28日(残り35日)
- Spring Boot 3.5 — 2026年6月30日(残り37日)
- Nuxt 3 — 2026年7月31日(残り68日)
エコシステム動向
npmレジストリの注目情報です。
- Angular —
nextタグに22.0.0-rc.1が配置。Angular 22のリリース候補が公開されており、来るメジャーバージョンアップへの準備を始めるタイミングです - NestJS —
nextタグに12.0.0-alpha.4が配置。次のメジャーバージョン12が開発中 - Next.js —
canaryに16.3.0-canary.27が配置。backportタグは15.5.18で、v15系向けセキュリティバックポートも継続して追跡されています - Vue —
betaタグに3.6.0-beta.12が配置。v3.6ベータが着実に進行中
まとめ
本日の最優先対応は2点です。まずAngular v21.2.14のセキュリティ修正 — SVGスクリプトインジェクション対策やリソースURLサニタイザーの改善が含まれており、Angularを本番で使用しているプロジェクトへのアップデートを推奨します。ng update @angular/core @angular/cli でアップデートできます。
次に、Next.js v16.2.6の5件のHigh深刻度セキュリティ修正への対応がまだの場合は今すぐ実施してください。どちらも既にパッチ内容が公開されており、対応が遅れるほどリスクが高まります。
Node.js 25のEOLまで残り8日です。今週末までに25系から24 LTSへの移行計画を確定させましょう。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。