【リリース日報】Nuxt 4.4.7セキュリティ修正・React 19.2.7ほか9件

項目	優先度	対応	影響対象	クイックアクション
Nuxt v4.4.7 セキュリティホットフィックス nuxt-4.4.7	high	対応必須	Nuxt 4系利用者Nuxt 3系利用者（v3.21.7も同日リリース）	npm install nuxt@4.4.7 で即時アップデート
Next.js v16.2.6 高重大度セキュリティ修正（5件） nextjs-16.2.6	high	対応必須	Next.js App Router利用者Middleware使用プロジェクトServer Components利用者	テスト環境でv16.2.6に更新し、動作確認後に本番適用
React v19.2.7 Server Actions FormDataリグレッション修正 react-19.2.7	medium	推奨	React 19.2.6利用者Server ActionsでFormDataを使用するプロジェクト	npm install react@19.2.7 react-dom@19.2.7
Laravel v13.13.0 HTTPクライアント強化・MailMessage拡張 laravel-13.13.0	medium	推奨	Laravel 13系利用者	composer update laravel/framework
Svelte 5.56.1 declaration tagパース修正 svelte-5.56.1	low	任意	Svelte 5系でdeclaration tagを使用する利用者	npm install svelte@5.56.1
@astrojs/node v10.1.3 prerenderedページ404修正 astro-node-10.1.3	low	任意	Astro Node.jsアダプター利用者（スタンドアロンモード）	npm install @astrojs/node@10.1.3
Angular v21.2.15 common/compilerバグ修正 angular-21.2.15	low	任意	Angular 21.x利用者SVGコンポーネント利用者	ng update @angular/core@21.2.15 @angular/cli@21
Node.js v26.3.0 Buffer.poolSize倍増（6/2日報参照） nodejs-26.3.0	high	推奨	Node.js 26利用者Node.js 25利用者（EOL対応必須）	Node.js 25利用者はLTS(v24/v22)への即時移行が必要
Vite v8.0.16 パッチリリース（6/2日報参照） vite-8.0.16	low	任意	Vite利用者	npm install vite@8.0.16 --save-dev

本日は監視対象リポジトリのうち9件で新リリースが確認されました。最重要トピックは Nuxt v4.4.7 のセキュリティホットフィックス（ディレクトリトラバーサル・プロトコル検証修正）と、引き続き対応が必要な Next.js v16.2.6 の高重大度セキュリティ修正です。また Spring Boot 3.5 と Kubernetes 1.33 の EOL まで残り25〜27日となり、今月末の期限が迫っています。

リリースサマリー

フレームワーク	バージョン	タイプ	カテゴリ
Nuxt	v4.4.7	major	frontend
Angular	v21.2.15	major	frontend
Astro Node	@astrojs/node@10.1.3	major	frontend
Node.js	v26.3.0	major	language
React	v19.2.7	minor	frontend
Laravel	v13.13.0	minor	backend
Svelte	svelte@5.56.1	patch	frontend
Vite	v8.0.16	patch	tool
Next.js	v16.2.6	prerelease	frontend

注目リリースの詳細

Nuxt v4.4.7 — セキュリティホットフィックス (major)

Nuxt v4.4.7 はセキュリティホットフィックスリリースです。ビルドキャッシュのパス解決・ディレクトリトラバーサル・プロトコル検証に関わる脆弱性が修正されました。Nuxt を本番運用しているすべてのプロジェクトで早急な対応が推奨されます。

セキュリティ修正の概要:

buildCache パスに pathe の resolve を使用（#35111）: ビルドキャッシュのパス境界チェックを強化し、不正なパス指定によるディレクトリ外への参照を防止
テストコンポーネントラッパーでの兄弟ディレクトリトラバーサルを防止（#35110）: 意図しないディレクトリへのアクセスが可能だった問題を修正
reloadNuxtApp のパスでプロトコルを検証（#35115）: アプリ再ロード時の不正プロトコル注入を防ぐバリデーションを追加

その他のバグ修正として、nitro の noSSR 割り当て順の修正（#35108）、vite の allowDirs フィルタリング修正（#35112）、clipboard-copy リスナーへのイベントデータ渡し修正（#35109）も含まれます。

Nuxt 3 系にも同日 v3.21.7 がリリースされています。詳細はセキュリティアドバイザリをご確認ください。

GitHub リリースノート

Next.js v16.2.6 — 高重大度セキュリティ修正（prerelease）

DoS・Middleware バイパス・SSRF など高重大度の脆弱性（5件）が修正されています。昨日からの継続案件です。未対応のプロジェクトは即時アップデートが必要です。詳細は Next.js v16.2.6 個別ページ を参照してください。

Next.js 15 系のバックポート v15.5.19 も公開されています。

React v19.2.7 — Server Actions の FormData リグレッション修正（minor）

React v19.2.7 がリリースされました。v19.2.6 で発生したリグレッション — Server Actions における FormData エントリの欠落が修正されています。

v19.2.6 にアップデートした後、Server Actions のフォーム送信が正常に動作しなくなった場合、このリリースで解消されます。破壊的変更はなく、v19.2.6 からの安全なアップデートです。

GitHub リリースノート

マイナー/パッチリリース一覧

フレームワーク	バージョン	主な変更
Laravel v13.13.0	minor	HTTP クライアントの PSR 対応・ヘッダー正規化・MailMessage の `attachFromStorage` 追加
Svelte 5.56.1	patch	declaration tag のパース安定化・無限ループ防止・警告誤検知修正
Astro @astrojs/node@10.1.3	patch	Node スタンドアロンモードで prerendered ページが 404 になる問題を修正
Angular v21.2.15	major	common/compiler のバグ修正（SVG `<style>` 要素・数値フォーマット等）
Node.js v26.3.0	major	Buffer.poolSize 64KiB 化・macOS Universal Binary 廃止警告（6/2 日報参照）
Vite v8.0.16	patch	バグ修正（詳細は CHANGELOG 参照）（6/2 日報参照）

EOL / サポート期限情報

🔴 EOL 済み

プロダクト	バージョン	EOL 日
Node.js	25	2026-06-01（2日前）

Node.js 25 が 2026年6月1日にサポートを終了しました。本番環境での継続利用は避け、LTS の Node.js 24（EOL: 2028年4月）または Node.js 22（EOL: 2027年4月）への移行を今すぐ実施してください。

⚠️ 30日以内に EOL

プロダクト	バージョン	EOL 日	残り日数
Kubernetes	1.33	2026-06-28	25日
Spring Boot	3.5	2026-06-30	27日

Kubernetes 1.33: 25日後に EOL。1.34（EOL: 2026年10月）、1.35（EOL: 2027年2月）、1.36（EOL: 2027年6月）へのアップグレード計画を今月中に完了させてください。
Spring Boot 3.5: 27日後に EOL。Spring Boot 4.0（EOL: 2026年12月）への移行準備を進めてください。

⚡ 3ヶ月以内に EOL

プロダクト	バージョン	EOL 日	残り日数
Nuxt	3	2026-07-31	58日

Nuxt 3 は 2026年7月31日に EOL を迎えます。本日のセキュリティ修正（v3.21.7）を適用しつつ、Nuxt 4 へのマイグレーション計画を早めに立てることを推奨します。

エコシステム動向

npm パッケージの最新バージョン（2026-06-02 時点）:

パッケージ	latest	開発版
react	19.2.7	19.3.0-canary
next	16.2.7	16.3.0-canary.37
nuxt	4.4.7	—
@angular/core	21.2.15	22.0.0-rc.3
svelte	5.56.1	—
vue	3.5.35	3.6.0-beta.13
astro	6.4.3	7.0.0-alpha.1
vite	8.0.16	—
typescript	6.0.3	—
tailwindcss	4.3.0	—
prisma	7.8.0	—

PyPI（Python）:

パッケージ	latest
Django	6.0.5
Flask	3.1.3
FastAPI	0.136.3

Angular の next タグが 22.0.0-rc.3 に進み、Angular 22 正式リリースへの準備が続いています。Next.js の latest は 16.2.7（releases データの 16.2.6 より新しいパッチ）になっています。React の canary タグには 19.3.0-canary-557e28fa が公開されており、v19.3 開発の活発化が見られます。

まとめ

本日の最重要確認事項は Nuxt v4.4.7 のセキュリティホットフィックスと、Next.js v16.2.6 のセキュリティ修正への対応です。特に Nuxt 利用者はパスバリデーションに関わる修正のため速やかにアップデートしてください。React v19.2.7 の Server Actions FormData 修正も、v19.2.6 にアップデート済みのプロジェクトでは忘れずに対応しましょう。

インフラ・バックエンドチームは今月末の EOL を忘れずに：Kubernetes 1.33（25日後）と Spring Boot 3.5（27日後）の移行を今週中に計画してください。Nuxt 3 系の EOL（58日後）も視野に、フロントエンドチームはマイグレーション検討を開始することを推奨します。

データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。