本日は監視対象リポジトリのうち3件で新リリースが確認されました。最大の注目点は Next.js v16.2.6 で、App Router を標的とした高重大度のセキュリティ脆弱性が複数修正されています。加えて、**Node.js 25 のEOLが明日(2026年6月1日)**に迫っており、対応が急がれます。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Next.js | v16.2.6 | prerelease | frontend |
| Rust | 1.96.0 | minor | language |
| Svelte | 5.56.0 | minor | frontend |
注目リリースの詳細
Next.js v16.2.6 — 高重大度セキュリティ修正 (prerelease)
このリリースはセキュリティ修正とバックポートされたバグ修正のみを含みます。canary ブランチの新機能・変更は含まれません。
App Router を使用しているプロジェクトに影響する高重大度(High)の脆弱性が複数修正されました。npm の latest タグには 16.2.6 が入っており、現時点の推奨安定版です。
修正されたセキュリティアドバイザリ(すべて High 重大度):
- GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
- GHSA-267c-6grr-h53f — segment-prefetch ルート経由の Middleware/Proxy バイパス
- GHSA-26hh-7cqf-hhc6 — 上記バイパス修正の不完全性に対するフォローアップ修正
- GHSA-mg66-mrh9-m8jx — Cache Components を使ったコネクション枯渇による DoS
- GHSA-492v-c6pp-mqqv — Middleware/Proxy バイパス(追加修正)
App Router、Middleware、Server Components、Cache Components のいずれかを利用しているプロジェクトは影響を受ける可能性があります。テスト環境で検証後、できる限り早期に適用してください。
Rust 1.96.0 (minor)
Rust の定期マイナーリリース。言語機能の改善、コンパイラの最適化、標準ライブラリの拡張が含まれます。
主な変更点:
- 言語:
cfg属性にexprメタ変数を渡せるように - 言語: タプル式での never 型の型強制を常に適用するよう改善
- 言語:
ManuallyDrop<T>型の定数をパターンとして使用可能に(1.94.0 でのリグレッション修正) - 言語: s390x ベクタレジスタのインラインアセンブリ対応
- コンパイラ: LoongArch Linux ターゲットでリンク最適化を有効化
- ライブラリ:
NonZero整数型の範囲に対するイテレーション対応
1.94.0 で発生した ManuallyDrop のリグレッションが修正されているため、影響を受けていた場合は更新の価値があります。
マイナー/パッチリリース一覧
| フレームワーク | バージョン | 主な変更 |
|---|---|---|
| Svelte 5.56.0 | minor | テンプレート内 declarations 構文対応、複数のパフォーマンス改善 |
Svelte 5.56.0 の変更点:
- 新機能: テンプレート内での
declarations構文をサポート(#18282) - パフォーマンス: HTML 要素生成時に
createElementNS→createElementへ切り替え - パフォーマンス:
current_sourcesをSetで管理し O(1) のメンバーシップチェックを実現 - パフォーマンス: コンポーネント内の同一ホイストテンプレートの重複排除
- パフォーマンス:
rest_props除外リストをモジュールスコープのSetとしてホイスト
EOL / サポート期限情報
⚠️ 緊急: 明日 EOL
| プロダクト | バージョン | EOL日 | 残り |
|---|---|---|---|
| Node.js | 25 | 2026-06-01 | 1日 |
Node.js 25 は明日 2026年6月1日にサポートが終了します。Node.js 25 を本番環境で使用している場合は、LTS バージョンである Node.js 24(EOL: 2028-04-30)または Node.js 22(EOL: 2027-04-30)へ今日中にアップグレードしてください。
⚠️ 30日以内に EOL
| プロダクト | バージョン | EOL日 | 残り |
|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 28日 |
| Spring Boot | 3.5 | 2026-06-30 | 30日 |
- Kubernetes 1.33: 28日後に EOL。1.34、1.35、または最新の 1.36 へのアップグレード計画を立てましょう。
- Spring Boot 3.5: 30日後に EOL。3.5 系の利用者は 4.0 への移行を検討してください。
既に EOL のバージョン(参考)
Angular 19 が 2026年5月19日にサポート終了となりました。Angular 19 利用者は v20 または v21 へのアップグレードをお願いします(v21 は 2027年5月まで、v20 は 2026年11月まで)。
エコシステム動向
npm パッケージの最新バージョン(2026-05-31 時点):
| パッケージ | latest | beta/canary |
|---|---|---|
| react | 19.2.6 | 19.3.0-canary |
| next | 16.2.6 | 16.3.0-canary.35 |
| svelte | 5.56.0 | — |
| vue | 3.5.35 | 3.6.0-beta.13 |
| typescript | 6.0.3 | — |
| tailwindcss | 4.3.0 | — |
| vite | 8.0.14 | — |
| prisma | 7.8.0 | — |
PyPI(Python):
| パッケージ | latest |
|---|---|
| Django | 6.0.5 |
| Flask | 3.1.3 |
| FastAPI | 0.136.3 |
Vue 3.6.0 beta が beta.13 まで進んでいます。Vapor Mode などの新機能を含む Vue 3.6 の安定版に向けた開発が活発に続いています。また Angular の next dist-tag には 22.0.0-rc.2 が入っており、Angular 22 が RC 段階に入っています。
まとめ
本日の最優先アクションは Next.js v16.2.6 のセキュリティ修正適用です。DoS および Middleware バイパスを含む高重大度の脆弱性が複数修正されており、App Router を利用中のプロジェクトは特に影響を受ける可能性があります。今日中にテスト環境で検証し、早急に本番へ適用することを推奨します。
もう一つの緊急対応が **Node.js 25 の EOL(明日 6月1日)**です。Node.js 25 を本番で使用している場合はすぐに LTS 版へ移行してください。また Kubernetes 1.33 と Spring Boot 3.5 も今月末に EOL を迎えます。計画的なアップグレードを進めていきましょう。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。