この変更が意味すること
Nuxt v4.4.7 はセキュリティホットフィックスリリースです。ビルドキャッシュのパス解決、テストコンポーネントでのディレクトリトラバーサル、reloadNuxtApp でのプロトコル検証に関わる脆弱性が修正されています。
Nuxt の公式セキュリティアドバイザリ(github.com/nuxt/nuxt/security/advisories)で修正された脆弱性の詳細を確認できます。
Nuxt 3 系でも同日 v3.21.7 がリリースされています。Nuxt 3 を使用しているプロジェクトも同様に v3.21.7 へのアップデートが必要です。
なお、Nuxt 3 は 2026年7月31日(58日後)に EOL を迎えます。セキュリティアップデートを適用しながら、Nuxt 4 へのマイグレーション計画を立てることを推奨します。
主な変更点
nuxt: buildCache パスの境界チェックに pathe の resolve を使用(#35111)
ビルドキャッシュのパス解決において、pathe ライブラリの resolve を使用するよう変更されました。これにより、不正なパス文字列によるディレクトリ境界外への参照(パストラバーサル)を防止します。
nuxt: テストコンポーネントラッパーでの兄弟ディレクトリトラバーサルを防止(#35110)
テストコンポーネントのラッパー生成処理において、意図しない兄弟ディレクトリへのアクセスが可能な脆弱性を修正しました。
nuxt: reloadNuxtApp のパスでプロトコルを検証(#35115)
reloadNuxtApp() の path 引数にプロトコルのバリデーションを追加しました。不正なプロトコルが指定された場合に、予期しないリダイレクトや情報漏洩が発生する可能性を防止します。
nitro: noSSR をペイロード抽出の前に割り当て(#35108)
SSR 無効化フラグ noSSR の設定タイミングを修正しました。ペイロード抽出処理よりも前に noSSR が割り当てられるようになります。
vite: allowDirs から共通プレフィックスを持つディレクトリが除外される問題を修正(#35112)
allowDirs の設定で、共通のプレフィックスを持つディレクトリが意図せずフィルタリングされる問題を修正しました。
nitro: dev の clipboard-copy リスナーに isValid でイベントデータを渡す(#35109)
開発環境の clipboard-copy リスナーで、isValid 関数にイベントデータが正しく渡されるよう修正されました。
EOL / サポート状況
| サイクル | 最新バージョン | サポート状況 | EOL |
|---|---|---|---|
| 4 | 4.4.7 | アクティブ | — |
| 3 | 3.21.7 | ⚠️ approaching | 2026-07-31 |
| 2 | 2.18.1 | EOL済み | 2024-06-30 |
Nuxt 3 は残り58日で EOL を迎えます。 Nuxt 3 系の最後のセキュリティ修正(v3.21.7)を適用しつつ、Nuxt 4 へのマイグレーション計画を早急に立てることを推奨します。
開発者への影響
- Nuxt 4系利用者: セキュリティホットフィックスのため、即時 v4.4.7 へのアップデートを推奨します
- Nuxt 3系利用者: 同日リリースの v3.21.7 に即時アップデートし、Nuxt 4 への移行計画を開始してください。残り58日で EOL となります
- 本番環境への Nuxt デプロイ: パストラバーサル・プロトコル検証の修正が含まれるため、セキュリティ上のリスク軽減のために優先的に対応してください
アップデート方法
# npm
npm install nuxt@4.4.7
# yarn
yarn add nuxt@4.4.7
# pnpm
pnpm add nuxt@4.4.7
# bun
bun add nuxt@4.4.7
# Nuxt 3系の場合
npm install nuxt@3.21.7
データソース: GitHub Releases API, endoflife.date, npm Registry AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。