本日は監視対象から4件のリリースが確認されました。最大の注目点は Node.js v26.3.1 のセキュリティリリースで、高深刻度CVEを含む計10件の修正が含まれています。本番環境で Node.js を利用しているチームは早急な対応が必要です。また Kubernetes 1.33(残り4日)と Spring Boot 3.5(残り6日)のEOLが目前に迫っており、今週末に向けた対応も引き続き急務です。
リリースサマリー
| フレームワーク | バージョン | タイプ | カテゴリ |
|---|---|---|---|
| Node.js | v26.3.1 | security | language |
| Astro (@astrojs/markdown-satteri) | 0.3.2 | patch | frontend |
| Vite (create-vite) | 9.1.0 | patch | tool |
| Next.js | v16.2.9 | prerelease | frontend |
メジャーリリースの詳細解説
Node.js v26.3.1(security)
2026年6月23日リリース(全アクティブライン対象: v26.3.1 / v24.17.0 / v22.23.1)。今回は セキュリティ専用リリース で、計10件のCVEが修正されています。そのうち2件は 高深刻度(High) です。
修正されたCVE一覧:
| 深刻度 | CVE | 内容 |
|---|---|---|
| High | CVE-2026-48618 | TLS: ホスト名の正規化不備によるサーバー認証バイパス |
| High | CVE-2026-48933 | crypto: WebCrypto の暗号化出力長の検証不備 |
| Medium | CVE-2026-48615 | トンネルエラーへのプロキシ認証情報の漏洩 |
| Medium | CVE-2026-48619 | HTTP/2: originSet の無制限増大によるメモリ枯渇 |
| Medium | CVE-2026-48928 | TLS: SNI コンテキストのケース非感応マッチング |
| Medium | CVE-2026-48930 | dns/net: NUL バイトを含むホスト名の未拒否 |
| Medium | CVE-2026-48934 | TLS: 再利用セッションが非認証ホストに適用される問題 |
| Low | CVE-2026-48617 | permission: process.chdir の writereport 処理 |
| Low | CVE-2026-48931 | http: http.Agent のレスポンスキューポイズニング |
| Low | CVE-2026-48935 | permission: FileHandle.utimes のパーミッションモデル適用漏れ |
TLS 関連の修正が5件と多く、特に High の CVE-2026-48618(ホスト名正規化バイパス)はサーバー認証の信頼性に関わる重大な問題です。HTTPS/TLS 通信を行うアプリケーションを本番運用しているチームは最優先での対応を推奨します。
対象バージョン: v22.x (LTS), v24.x (LTS), v26.x (Current)
GitHub: nodejs/node v26.3.1
マイナー/パッチリリース一覧
- Astro (@astrojs/markdown-satteri) 0.3.2 (patch) — Starlight 等のインテグレーションが見出しIDを付与した際に
headingsメタデータに重複エントリが生じるバグを修正(#17165) - Vite (create-vite) 9.1.0 (patch) — スキャフォールディングツール
create-viteの更新。詳細は CHANGELOG.md 参照 - Next.js v16.2.9 (prerelease) —
next@latestdist-tag を正しい安定版に向けるための空リリース。機能追加・バグ修正は含まれない
EOL / サポート期限情報
緊急: 今週末にEOLを迎えるバージョン
| プロダクト | バージョン | EOL日 | 残り日数 | 推奨移行先 |
|---|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 4日 | 1.34 以上 |
| Spring Boot | 3.5 | 2026-06-30 | 6日 | 4.0 または 4.1 |
Kubernetes 1.33 は2026年6月28日にサポートが終了します。残り4日です。現行最新安定版は 1.36.2 です。1.34(EOL: 2026-10-27)以上への移行を週末前に完了させましょう。
Spring Boot 3.5 は2026年6月30日にEOLとなります。残り6日です。Spring Boot 4.0(EOL: 2026-12-31)または 4.1(EOL: 2027-07-31)への移行を検討してください。Spring Framework 7 への対応も必要になるため、余裕を持って作業を進めてください。
注意: 近日中にEOLを迎えるバージョン
| プロダクト | バージョン | EOL日 | 残り日数 |
|---|---|---|---|
| Nuxt | 3 | 2026-07-31 | 37日 |
Nuxt 3 は2026年7月31日にサポート終了となります。現行安定版 Nuxt 4.4.8 への移行計画を立てておきましょう。
エコシステム動向
npm パッケージ(2026-06-24時点)
フロントエンド:
- React
19.2.7(stable) / canary:19.3.0-canary-99e86060-20260623 - Next.js
16.2.9(latest) / canary:16.3.0-canary.62 - Vue
3.5.38(stable) / beta:3.6.0-beta.16 - Astro
7.0.2(latest) - Angular
22.0.2(latest) / next:22.1.0-next.1 - Svelte
5.56.3(latest) - Nuxt
4.4.8(latest)
ツール/言語:
- Vite
8.1.0(latest) - TypeScript
6.0.3(latest) / rc:7.0.1-rc - Tailwind CSS
4.3.1(latest) - Prisma
7.8.0(latest)
バックエンド:
- NestJS
11.1.27(stable) / next:12.0.0-alpha.5
PyPI パッケージ
- Django
6.0.6(Python 3.12 以上必須) - Flask
3.1.3 - FastAPI
0.138.0
まとめ
本日の最重要ポイントは Node.js v26.3.1 のセキュリティリリース です。高深刻度CVEが2件含まれており、TLS通信や WebCrypto を利用するアプリケーションへの影響が懸念されます。v22(LTS)・v24(LTS)・v26(Current)のすべてに対してパッチが提供されているため、本番環境のバージョンに合わせて速やかにアップデートしてください。
EOL 対応では Kubernetes 1.33(残り4日)と Spring Boot 3.5(残り6日)が今週末に期限を迎えます。昨日より緊急度がさらに高まっています。まだ移行が完了していないチームは今日中に対応スケジュールを確定させることを強く推奨します。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。