本日は監視対象から6件のリリースが確認されました。最大の注目点はNode.js v26.3.1のセキュリティリリースで、高深刻度CVE2件を含む10件超のCVEが修正されています。Node.js v22/v24/v26の全アクティブブランチに影響するため、早急なアップデートが必要です。また、Kubernetes 1.33(残り9日)とSpring Boot 3.5(残り11日)のEOLが今月末に迫っており、まだ対応が済んでいない場合は最優先で確認してください。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Node.js | v26.3.1 | security | language |
| Angular | v22.0.2 | patch | frontend |
| Vue | v3.5.38 | patch | frontend |
| Astro | v6.4.8 | patch | frontend |
| Next.js | v16.2.9 | prerelease | frontend |
| Terraform | v1.15.6 | patch | infra |
セキュリティリリース
Node.js v26.3.1(security)
2026年6月18日付けで Node.js v26.3.1(Current)、v24.17.0(LTS)、v22.23.0(LTS)が同時リリースされました。10件以上のCVEが修正されたセキュリティリリースです。
高深刻度(High)の修正:
- CVE-2026-48618
tls— サーバーID検証時のホスト名正規化処理の不備を修正(Matteo Collina) - CVE-2026-48933
crypto— WebCrypto暗号化の出力バッファ長チェックが不十分だった問題を修正(Filip Skokan)
中深刻度(Medium)の修正:
- CVE-2026-48615
lib,test— トンネルエラー時にプロキシ認証情報が漏洩する可能性を修正(Matteo Collina) - CVE-2026-48619
http2— originSetの無制限増加によるメモリ消費を上限設定で防止(Matteo Collina) - CVE-2026-48928
tls— SNIコンテキストマッチングの大文字小文字区別の不備を修正(Matteo Collina) - CVE-2026-48930
dns,net— NULバイトを含むホスト名を拒否するよう修正(Matteo Collina) - CVE-2026-48934
tls— 再利用可能なセッションを認証済みホストへバインドするよう修正(Matteo Collina)
低深刻度(Low)の修正:
- CVE-2026-48617
permission—process.chdir実行時のwritereportに関するpermissionモデルの問題を修正(RafaelGSS) - CVE-2026-48931
http—http.Agentでのレスポンスキューポイズニングを修正(Matteo Collina) - CVE-2026-48935
permission— permissionモデル下でのFileHandle.utimesを無効化(RafaelGSS)
v22/v24/v26の全アクティブブランチに影響します。本番環境で使用しているNode.jsのバージョンを確認し、対応する最新セキュリティ版への更新を推奨します。
- v26(Current)→ v26.3.1
- v24(LTS Fermium)→ v24.17.0
- v22(LTS Jod)→ v22.23.0
パッチ / プレリリース
Angular v22.0.2(patch)
Angular v22.0.2がリリースされました。v22.0系の継続的なバグ修正リリースです。
common: Shadow DOM name セレクタでアンカーフラグメントのエスケープ処理を修正common: キャッシュ不可なHTTPトラフィックに対するtransfer cacheのスキップ処理を修正(#69316)compiler: 2文字以下のプロパティ名へのイベントハンドラーチェック適用範囲を制限core: マイグレーション処理のキャッシュに関するバグを修正
Vue v3.5.38(patch)
Vue v3.5系の継続的なバグ修正リリースです。詳細は CHANGELOG.md を参照してください。beta タグでは v3.6.0-beta.16 が先行提供中です。
Astro v6.4.8(patch)
URLデコーディング回数の上限を厳格化するセキュリティ修正を含むパッチリリースです。PR #17109 により過剰なURLデコーディングを誘発する攻撃への対策が強化されました。Astro 6系利用者は早めのアップデートを推奨します。
Next.js v16.2.9(prerelease)
next@latest dist-tag を安定版へ確実に向けるための空リリースです。Trusted Publishing の制約により dist-tag の直接更新ができないため、バージョンリリースとして対処されました。機能追加・バグ修正は含まれていません。
Terraform v1.15.6(patch)
4件のバグ修正を含みます。
removedブロックのリソースがプランファイルのplanned_valuesに誤って含まれる問題を修正consoleコマンドで deprecated 値を含む式評価時のパニックを修正plan・query・refreshコマンドの変数エラー時の終了コードを修正nullおよびセンシティブ/エフェメラルなモジュールソースのインストールエッジケースを修正
EOL / サポート期限情報
今月末にかけてEOLが集中しています。以下の対象バージョンを使用しているチームは早急に対応計画を確認してください。
| プロダクト | バージョン | EOL日 | 残り日数 | 推奨移行先 |
|---|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 9日 | 1.34 以上 |
| Spring Boot | 3.5 | 2026-06-30 | 11日 | 4.0 または 4.1 |
| Nuxt | 3 | 2026-07-31 | 42日 | Nuxt 4 |
| Node.js | 25 | 2026-06-01 | EOL済み | 24 (LTS) または 26 |
Kubernetes 1.33 は2026年6月28日にサポートが終了します。残り9日と極めて切迫しており、まだ移行が完了していない場合は1.34以上への早急なアップグレードが必要です。
Spring Boot 3.5 は2026年6月30日にEOLとなります。Spring Boot 4.0(2025年11月リリース)または4.1(2026年6月リリース)への移行を検討してください。
Nuxt 3 は2026年7月31日にサポートが終了します(残り42日)。Nuxt 4への移行計画を立てておきましょう。
エコシステム動向
npm パッケージ
- Angular (
@angular/core):latestが v22.0.2 に更新。nextタグで v22.1.0-next.1 が先行提供 - Vue (
vue):latestが v3.5.38、betaタグで v3.6.0-beta.16 が先行提供 - Next.js (
next):latestが v16.2.9。canaryは v16.3.0-canary.57 が最新 - Astro (
astro):latestが v6.4.8、betaタグで v7.0.0-beta.5 が先行提供 - React (
react):latestが v19.2.7、canaryで v19.3.0-canary-a7cce7b3-20260617 が更新中 - TypeScript (
typescript):latestが v6.0.3 で安定
PyPI パッケージ
- Django: v6.0.6 が最新(Python 3.12 以上が必須)
- Flask: v3.1.3 が最新
- FastAPI: v0.137.2 が最新
まとめ
本日の最大注目点は、Node.js v26.3.1 / v24.17.0 / v22.23.0 の同時セキュリティリリースです。高深刻度CVE2件を含む10件超の修正が含まれており、TLS・WebCrypto・HTTP/2・DNS など幅広いコアモジュールに影響します。Node.jsを本番環境で使用しているプロジェクトは、使用バージョンに対応するセキュリティ版へ今週中に更新することを強く推奨します。
月末に向けてKubernetes 1.33(9日後)・Spring Boot 3.5(11日後)のEOLも差し迫っています。Node.jsのアップデートと並行して、これらのEOL対応も優先度を上げて確認してください。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。