今週(5/11〜5/15)は、監視対象リポジトリから 新規17件 のリリースが確認されました。週を通じて際立ったのはセキュリティ修正の多さで、中でも Svelte v5.55.7 の XSS 脆弱性修正(金曜日)と、Next.js v16.2.6 の High 深刻度セキュリティ修正 6件(月曜から継続)が最優先対応事項です。インフラ側では Docker v29.4.3 の CVE-2026-31431 リグレッション修正 も早急な対応を要します。さらに Angular 19 の EOL(2026-05-19) がこの週末に到来しており、未移行のプロジェクトは即時対応が必要です。フロントエンド・インフラ・バックエンド全域でセキュリティと品質改善が重なった、対応項目の多い一週間でした。
週間サマリーテーブル
| 指標 | 月(5/11) | 火(5/12) | 水(5/13) | 木(5/14) | 金(5/15) | 週合計(ユニーク) |
|---|---|---|---|---|---|---|
| Major | 0 | 2 | 2 | 3 | 3 | 6件 |
| Minor | 0 | 0 | 1 | 1 | 0 | 2件 |
| Patch | 0 | 0 | 0 | 1 | 3 | 4件 |
| Prerelease | 2 | 2 | 2 | 1 | 2 | 5件 |
| 日計 | 2 | 4 | 5 | 6 | 8 | 17件 |
※日報の数値は継続収録分を含みます。週合計は重複を除いたユニーク件数です。
注目リリース TOP5
1. Svelte v5.55.7 — XSS脆弱性修正
- タイプ: Patch(セキュリティ修正)
- 掲載日: 2026-05-15(金)
- カテゴリ: frontend
hydratable 経由でユーザーコンテンツからスクリプトが実行される XSS 脆弱性が修正されました。SSR / ハイドレーション環境での深刻なインジェクションリスクに加え、空属性名の禁止や内部正規表現のハードニングも実施されており、セキュリティ品質が全体的に底上げされています。SSR を利用している Svelte プロジェクトは 早急なアップデートを推奨 します。
主な修正点:
hydratableからのユーザーコンテンツ経由 XSS を防止- SSR 中の空属性名を禁止
- 正規表現のハードニング
- Svelte ランタイムプロパティを Symbol に移行
2. Next.js v16.2.6 — High深刻度セキュリティ修正6件
- タイプ: Prerelease(セキュリティ修正)
- 掲載日: 2026-05-11(月)〜継続収録
- カテゴリ: frontend
週を通じて最優先対応として報告された案件です。Server Components の DoS 攻撃や Middleware / Proxy バイパスなど、本番環境での悪用リスクが高い脆弱性が 6件修正されています。App Router や Middleware を利用中のプロジェクトは 即時アップデートが必要 です。Pages Router のみのプロジェクトでも、Server Components の DoS と Cache Components の接続枯渇は影響する可能性があります。
修正済みアドバイザリ:
- GHSA-8h8q-6873-q5fj: Server Components の DoS
- GHSA-267c-6grr-h53f: segment-prefetch 経由の Middleware / Proxy バイパス
- GHSA-26hh-7cqf-hhc6: 上記バイパスの不完全修正フォローアップ
- GHSA-mg66-mrh9-m8jx: Cache Components の接続枯渇による DoS
- GHSA-492v-c6pp-mqqv: 動的ルートパラメータインジェクションによる Middleware / Proxy バイパス
- GHSA-c4j6-fc7j-m34r: サーバーサイドの脆弱性
3. Docker v29.4.3 — CVE-2026-31431 リグレッション修正
- タイプ: Prerelease(CVE修正)
- 掲載日: 2026-05-12(火)〜継続収録
- カテゴリ: infra
v29.4.2 で導入された広範な socketcall(2) seccomp 拒否ルールが、32ビットプログラムや i386 イメージを壊すリグレッションを引き起こしていました。v29.4.3 では AppArmor / SELinux ルールへの置き換えにより、AF_ALG のブロックと32ビット互換性を両立しています。
SELinux ベースの環境では daemon.json または --selinux-enabled フラグでの有効化が必要です(デフォルトは無効)。32ビットワークロードや i386 イメージを利用中の場合は早急なアップデートを推奨します。
4. Kubernetes v1.36.1 — v1.36系初パッチリリース
- タイプ: Minor(初パッチ)
- 掲載日: 2026-05-13(水)
- カテゴリ: infra
4月22日にリリースされた v1.36.0 に対する初のパッチリリースで、v1.36 系を本番環境へ投入する安定性の目安として重要なマイルストーンです。同時に v1.35.5 / v1.34.8 / v1.33.12 のメンテナンスリリースも公開されており、既存バージョン利用者はこちらの適用も確認してください。
5. NestJS v11.1.20 / v11.1.21 — SSEイベント消失修正ほか
- タイプ: Patch
- 掲載日: 2026-05-14(木)/ 2026-05-15(金)
- カテゴリ: backend
木曜日の v11.1.20 で @Sse デコレータでイベントが消失するバグ、SSE の writehead のタイミング問題、SSE メッセージ ID の strict null チェック追加が行われました。金曜日の v11.1.21 ではさらにスキップされたプロバイダの初期化処理が修正されています。SSE を活用しているプロジェクトでイベント欠損に心当たりがある場合は、このバージョンで解消される可能性があります。
EOL / サポート期限情報
今週末にEOLを迎えるプロダクト(緊急対応)
| プロダクト | バージョン | EOL 日 | 推奨移行先 |
|---|---|---|---|
| Angular | 19 | 2026-05-19 | Angular 20(LTS)/ Angular 21 |
Angular 19 は 5月19日(月)でセキュリティパッチの提供が終了 します。v19 の最終リリースは 19.2.21 です。LTS 対象の Angular 20(v20.3.21)または最新の Angular 21(v21.2.13)への移行を今週末中に完了させてください。また、Angular v21.2.13 ではホストバインディングでのイベント属性バインディングが無条件で禁止されるセキュリティ強化も行われており、v21 への移行を選択する場合は動作確認が必要です。
その他EOLが近いプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 推奨移行先 |
|---|---|---|---|---|
| Node.js | 25 (Current) | 2026-06-01 | 16日 | Node.js 24 LTS / 26 |
| Kubernetes | 1.33 | 2026-06-28 | 43日 | Kubernetes 1.34+ |
| Spring Boot | 3.5 | 2026-06-30 | 45日 | Spring Boot 4.0 |
| Nuxt | 3 | 2026-07-31 | 76日 | Nuxt 4 |
| Rails | 7.2 | 2026-08-09 | 85日 | Rails 8.0 / 8.1 |
Node.js 25 は Current ラインで、6月1日に EOL を迎えます。LTS の Node.js 24(v24.15.0)または Node.js 26(v26.1.0、10月にLTS昇格予定)への移行を計画してください。
直近でEOLとなったプロダクト
| プロダクト | バージョン | EOL 日 | 経過 | 推奨移行先 |
|---|---|---|---|---|
| Tailwind CSS | 4.2 | 2026-05-08 | 8日 | Tailwind CSS 4.3 |
| Terraform | 1.13 | 2026-04-29 | 17日 | Terraform 1.14 / 1.15 |
| Rust | 1.94 | 2026-04-16 | 30日 | Rust 1.95 |
| Laravel | 11 | 2026-03-12 | 65日 | Laravel 12 / 13 |
日別ダイジェスト
- 5/11(月): 2件 — Next.js v16.2.6 High 6件セキュリティ修正を引き続き最優先対応、Angular 19 EOL残り8日
- 5/12(火): 4件 — Docker v29.4.3 CVE-2026-31431 リグレッション修正が最注目、Nuxt v4.4.5 パフォーマンス改善
- 5/13(水): 5件 — Kubernetes v1.36.1 v1.36系初パッチ、Angular v21.2.12 ハイドレーション修正
- 5/14(木): 6件 — Laravel v13.9.0 マイナー、NestJS v11.1.20 SSEイベント消失修正、Node.js v26.1.0 実験的FFI追加
- 5/15(金): 8件 — Svelte v5.55.7 XSS脆弱性修正が最重要、Angular v21.2.13 セキュリティ強化
まとめ・来週の注目ポイント
今週を振り返ると、フロントエンドとインフラ両軸でセキュリティ修正が重なった週 でした。最も緊急度が高いのは Svelte v5.55.7 の XSS 修正で、SSR / ハイドレーション利用者は週末中の対応を強く推奨します。Next.js v16.2.6 のセキュリティ修正は月曜から継続して報告されており、週をまたいでも未適用のプロジェクトが残っているとすれば、来週早々の対応が必須です。Docker v29.4.3 の CVE 修正も32ビットワークロードを持つ環境では即時対応が求められます。
来週の注目ポイントは Angular 19 の EOL 通過後の状況 です。5/19(月)でサポートが終了するため、EOL 後の v19 利用プロジェクトがどの程度残るか、また Angular 20 / 21 への移行がスムーズに進むかが注目されます。Kubernetes v1.36.1 が初パッチを迎えたことで v1.36 系本番投入の検証を進めているチームも多いでしょう。また、Angular 22 が rc 段階(22.0.0-rc.0)に入ったため、来週以降の正式リリース情報にも注目です。Node.js 25 の EOL(6/1)も近づいており、Node.js 24 LTS または 26 への移行準備を今週中に始めておくことを推奨します。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。