本日は監視対象リポジトリのうち2件で新リリースが確認されました。Next.js v16.2.6のセキュリティ修正リリースが最大の注目点で、App RouterのMiddleware/Proxyバイパスを含むHighレベルの脆弱性が複数修正されています。EOL情報では、Node.js 25のサポート終了まで残り6日となりました。移行が未対応のプロジェクトは早急な対応が必要です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Next.js | v16.2.6 | prerelease | frontend |
| NestJS | v11.1.24 | patch | backend |
注目リリースの詳細
Next.js v16.2.6 — セキュリティ修正リリース
prerelease security
Next.js v16.2.6は、canaryの新機能を含まないセキュリティ修正・バグ修正のバックポートリリースです。Highレベルの脆弱性が5件修正されており、App Router利用者には早めの適用を推奨します。
修正されたセキュリティ脆弱性(High)
- GHSA-8h8q-6873-q5fj: Server Componentsを利用したアプリでのサービス拒否(DoS)
- GHSA-267c-6grr-h53f: App RouterアプリにおけるSegment Prefetchルート経由のMiddleware/Proxyバイパス
- GHSA-26hh-7cqf-hhc6: 上記のMiddleware/Proxyバイパスに対する不完全修正のフォローアップ
- GHSA-mg66-mrh9-m8jx: Cache Componentsを使用するアプリでの接続枯渇によるサービス拒否(DoS)
- GHSA-492v-c6pp-mqqv: Middleware/Proxyバイパス(詳細は公式アドバイザリを参照)
対象者と対応方針
App Routerを利用しているプロジェクト、特にMiddlewareやServer Components、Cache Componentsを使用している場合は影響を受ける可能性があります。このリリースは機能追加を含まないバックポートリリースのため、v16系利用者は比較的安全にアップデートできます。
npm install next@16.2.6
詳細: GitHub Releases
マイナー / パッチリリース
NestJS v11.1.24
patch
バグ修正と軽微な機能強化を含むパッチリリースです。
- バグ修正:
core— メタデータ変更時にdependency-treeキャッシュが正しくリセットされない問題を修正(#17009) - 機能強化:
core— WebSocketアダプターが遅延登録された場合に警告を出力するようになりました(#16997) - 依存関係:
platform-ws—wsを 8.20.1 → 8.21.0 にバンプ
通常のアップデートサイクルで対応可能です。
詳細: GitHub Releases
EOL / サポート期限情報
⚠️ 緊急: Node.js 25 — EOLまで残り6日
Node.js 25 のサポートが 2026年6月1日(6日後)に終了します。Node.js の奇数バージョン(25, 23 など)は短期サポートのため、LTSへの移行が推奨されます。
| バージョン | ステータス | EOL日 |
|---|---|---|
| Node.js 26 | Active(LTS: 2026年10月〜) | 2029-04-30 |
| Node.js 25 | ⚠️ EOL間近(6日後) | 2026-06-01 |
| Node.js 24 | Active(LTS中) | 2028-04-30 |
| Node.js 23 | EOL済み | 2025-06-01 |
| Node.js 22 | Active(LTS中) | 2027-04-30 |
推奨アクション: v25 利用中のプロジェクトは v24(LTS) または v26(最新LTS候補) への移行を今すぐ実施してください。
注意: 今後3ヶ月以内のEOL
| プロダクト | バージョン | EOL日 | 残り日数 |
|---|---|---|---|
| Node.js | 25 | 2026-06-01 | 6日 |
| Spring Boot | 3.5 | 2026-06-30 | 35日 |
| Kubernetes | 1.33 | 2026-06-28 | 33日 |
| Nuxt | 3 | 2026-07-31 | 66日 |
Spring Boot 3.5 と Kubernetes 1.33 もそれぞれ1ヶ月強でEOLとなります。移行計画の策定を進めておきましょう。
Angular 19 — EOL済み(2026年5月19日)
Angular 19 のサポートが先週(2026年5月19日)終了しました。Angular 21(最新)への移行を検討してください。
エコシステム動向
パッケージレジストリの最新状況です。
| パッケージ | latest | 注目dist-tag |
|---|---|---|
| next | 16.2.6 | canary: 16.3.0-canary.28 |
| react | 19.2.6 | canary: 19.3.0-canary-d5736f09 |
| @angular/core | 21.2.14 | next: 22.0.0-rc.1 |
| @nestjs/core | 11.1.24 | next: 12.0.0-alpha.5 |
| typescript | 6.0.3 | next: 6.0.0-dev.20260416 |
| vite | 8.0.14 | — |
| tailwindcss | 4.3.0 | v3-lts: 3.4.19 |
| prisma | 7.8.0 | — |
注目点: Angular 22 が 22.0.0-rc.1 となり、RC段階に入っています。NestJS も 12.0.0-alpha.5 がnextタグに公開されており、次世代バージョンの開発が進んでいます。
まとめ
本日の最大の注目点は、Node.js 25 のEOL(6日後)と Next.js v16.2.6 のセキュリティ修正です。Node.js 25 を本番で使用しているチームは、今週中にv24(LTS)へのアップグレードを完了させる必要があります。Next.js については、App RouterやServer Components、Cache Componentsを使用するプロジェクトで複数のHighレベル脆弱性が修正されており、早期のアップデートを推奨します。
NestJS v11.1.24 はパッチリリースですが、WebSocketアダプターの遅延登録時の挙動が改善されています。WebSocket機能を積極的に使っているプロジェクトでは確認しておく価値があります。Angular 22 のRC公開やNestJS 12のアルファ公開など、次世代バージョンの動きも活発になってきました。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。