今週(2026年5月18日〜22日)は、セキュリティ修正リリースへの連続対応 が最大のテーマとなりました。全5日間にわたり最優先アラートが発せられた Next.js v16.2.6(High CVE×5件)と、火曜から始まった Docker v29.5.1 の docker cp ホストroot権限奪取CVEへの緊急対応が重なりました。加えて Angular v19 が5月19日(火)に正式EOL を迎え、未移行プロジェクトへの注意喚起が週を通じて継続しました。週後半には Node.js v26.2.0(Temporal.Instant 対応・HTTP 1xx API 追加)や Angular v21.2.14(テンプレートサニタイズ修正)も加わり、週間ユニークリリースは16件にのぼりました。
週間サマリーテーブル
| 指標 | 月(5/18) | 火(5/19) | 水(5/20) | 木(5/21) | 金(5/22) | 週合計 |
|---|---|---|---|---|---|---|
| Major | - | - | - | - | 2件 | 2件 |
| Minor | - | - | - | 1件 | - | 1件 |
| Patch | - | 4件 | 4件 | 4件 | 3件 | 15件 |
| Prerelease | 1件 | 1件 | 1件 | 1件 | 2件 | 6件 |
| 日別合計 | 1件 | 5件 | 5件 | 6件 | 7件 | 24件 |
※Next.js v16.2.6・Docker v29.5.1 など同一リリースが複数日にわたって掲載されているため、延べ24件(ユニーク16件)となっています。
注目リリース TOP5
Next.js v16.2.6 — High 深刻度セキュリティ修正(週間最優先)
prerelease security High×5
今週のリリースで最も緊急度が高い1件です。月曜(5/18)から金曜(5/22)まで5日連続で最優先アラートとして掲載されました。App Router・Middleware・Cache Components を使用するすべての Next.js プロジェクトが影響対象です。v16.2.5 にアップデート済みの環境でも v16.2.6 への更新が必要です。
修正された脆弱性(いずれも High 深刻度):
- GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
- GHSA-267c-6grr-h53f — segment-prefetch 経由 Middleware / Proxy バイパス
- GHSA-26hh-7cqf-hhc6 — 上記バイパスの不完全修正フォローアップ
- GHSA-mg66-mrh9-m8jx — Cache Components による接続枯渇 DoS
- GHSA-492v-c6pp-mqqv — 動的ルートパラメータ経由 Middleware / Proxy バイパス
5/18の日報ではさらに GHSA-c4j6-fc7j-m34r(WebSocket 経由の SSRF)も修正済みとして記載されていました。特に Middleware で認証・認可ロジックを実装している App Router プロジェクトはバイパスリスクがあるため、優先して対応してください。
npm install next@16.2.6
# Next.js 15 系の場合
npm install next@15.5.18
掲載日: 5/18(月)〜5/22(金)
Docker v29.5.1 — docker cp ホストroot権限奪取 CVE(即時対応推奨)
patch security
火曜(5/19)に新規登場し、水曜(5/20)まで最優先対応が呼びかけられたリリースです。docker cp コマンドに関する2件の脆弱性が修正されています。
CVE-2026-41567 — ホストroot権限でのコード実行
アーカイブ解凍バイナリ(xz、unpigz など)がコンテナ側の PATH から解決されていたため、悪意あるコンテナがホストroot権限で任意のバイナリを実行できる脆弱性。docker cp を使用するすべての環境が影響対象です。GHSA-x86f-5xw2-fm2r
CVE-2026-41568 — docker cp の TOCTOU 競合条件
コンテナプロセスがホストファイルシステム上の任意の場所にファイルやディレクトリを作成できる Time-Of-Check Time-Of-Use 脆弱性。
# Ubuntu / Debian
sudo apt-get update && sudo apt-get install docker-ce=5:29.5.1-1~ubuntu.24.04~noble
# RHEL / CentOS
sudo yum update docker-ce-29.5.1
なお金曜(5/22)には Docker v29.5.2 もリリースされており、docker cp でシンボリックリンクを経由するバインドマウントがある場合に発生していた mkdirat: file exists エラーが修正されています。最新の v29.5.2 への更新を推奨します。
掲載日: 5/19(火)〜5/20(水)
Node.js v26.2.0 — Temporal.Instant 対応・HTTP 1xx API 追加
minor SEMVER-MINOR
木曜(5/21)に登場した注目の新機能リリースです。ECMAScript の Temporal API と Node.js 組み込みモジュールの統合が進みました。
fs:Temporal.Instant対応(SEMVER-MINOR)—fs.StatsおよびBigIntStatsのatime・mtime・ctime・birthtimeフィールドでTemporal.Instantを受け付けられるようになりました。TC39 Temporal Proposal の実装が着実に進行していますhttp:writeInformation()追加(SEMVER-MINOR)— 任意の HTTP 1xx ステータスコードを送信できるresponse.writeInformation(statusCode, headers?)API が追加。103 Early Hintsの送信が容易になりますstream.composeがステーブルに — 以前は実験的扱いだった API が安定版としてマークされました。本番環境での利用が推奨される状態になっています
# nvm
nvm install 26.2.0 && nvm use 26.2.0
# volta
volta install node@26.2.0
掲載日: 5/21(木)・5/22(金)
Angular v21.2.14 — テンプレートサニタイズ・セキュリティ修正
prerelease security
金曜(5/22)にリリース。コンパイラとコアのバグ修正を含み、セキュリティ関連の修正が複数含まれています。
- compiler: テンプレートコンパイル時に名前空間付き SVG script エレメントをサニタイズ
- core: リソース URL サニタイザーの大文字小文字区別を統一
- core: script エレメントを動的コンポーネントホストとして拒否するよう修正
- core:
void @Outputマイグレーション時に不要なコメントが挿入される問題を修正
Angular v19 が今週 EOL を迎えた直後のタイミングで、v21 系の継続的なセキュリティ改善が続いています。
ng update @angular/core@21.2.14 @angular/cli@21.2.14
掲載日: 5/22(金)
Astro 6.3.5 / 6.3.6 — CSP 破壊バグ・Markdown アクセシビリティ修正
patch
水曜(5/20)にリリースされた Astro 6.3.5 は、CSP(Content Security Policy)を厳密に設定している環境で <Image> / <Picture> コンポーネントの position プロパティが CSP を破壊する不具合を修正しました。また木曜(5/21)には Astro 6.3.6 がリリースされ、Markdown の空 alt 属性()が保持されないアクセシビリティバグや、getStaticPaths() 経由の HMR で古いコンテンツが返る問題が修正されています。
npm install astro@6.3.6
掲載日: 5/20(水)・5/21(木)
EOL / サポート期限情報
🚨 Angular v19 — 2026年5月19日 EOL 到来(今週)
今週(5/19)、Angular v19 のサポートが正式に終了しました。 セキュリティパッチの提供が終了しています。Angular 19 系を本番環境で稼働させているプロジェクトは早急な移行が必要です。
| サイクル | 最新バージョン | ステータス | EOL 日 |
|---|---|---|---|
| 21 | 21.2.14 | active | 2027-05-19 |
| 20 | 20.3.21 | active | 2026-11-28 |
| 19 | 19.2.22 | EOL(今週到来) | 2026-05-19 |
| 18 | 18.2.14 | EOL | 2025-11-21 |
| 17 | 17.3.12 | EOL | 2025-05-15 |
移行先推奨: Angular v21(EOL: 2027-05-19)。npm の next タグには v22.0.0-rc.1 が登場しており、長期的な技術選定として v22 RC の評価開始も選択肢です。
npm install @angular/core@21.2.14
⚠️ Node.js v25 — 2026年6月1日 EOL(残り約9日)
Node.js v25(非LTS・奇数バージョン)は 約9日後(6/1) にサポートが終了します。本番環境では LTS への移行を強く推奨します。
| サイクル | ステータス | EOL | 備考 |
|---|---|---|---|
| 26 | active | LTS: 2026-10-01 | 最新 Current |
| 25 | approaching EOL | 2026-06-01 | ⚠️ 残り約9日 |
| 24 | active (LTS) | 2028-04-30 | 推奨 LTS |
| 22 | active (LTS) | 2027-04-30 | 推奨 LTS |
# Node.js 24 LTS へ移行(nvm)
nvm install 24 && nvm use 24 && nvm alias default 24
⚠️ 今後のEOL予定一覧
| プロダクト | バージョン | EOL日 | 残り日数(5/23現在) |
|---|---|---|---|
| Node.js | 25 | 2026-06-01 | 約9日 |
| Kubernetes | 1.33 | 2026-06-28 | 約36日 |
| Spring Boot | 3.5 | 2026-06-30 | 約38日 |
| Nuxt | 3 | 2026-07-31 | 約69日 |
| Rails | 7.2 | 2026-08-09 | 約78日 |
日別ダイジェスト
- 5/18(月): 1件 — Next.js v16.2.6 High CVE×6修正リリース、Angular v19 EOL前日警告
- 5/19(火): 5件 — Docker v29.5.1 docker cp権限昇格CVE・Angular v19 本日EOL到来
- 5/20(水): 5件 — Docker/Next.js セキュリティ継続対応・Astro 6.3.5 CSP破壊バグ修正
- 5/21(木): 6件 — Node.js v26.2.0 Temporal.Instant対応・Laravel/Terraform/Svelte パッチ
- 5/22(金): 7件 — Angular v21.2.14 セキュリティ修正・Docker v29.5.2・Vite v8.0.14ほか
まとめ・来週の注目ポイント
今週は「緊急セキュリティパッチへの対応」と「EOL管理」という2つのテーマが同時進行した1週間でした。Next.js v16.2.6 の High CVE(Middleware バイパス・DoS)と Docker v29.5.1 のホストroot権限奪取CVEへの対応は、未完了であれば今週末中の適用を強く推奨します。Docker については v29.5.2 も公開されているため、最新版への更新を推奨します。
来週は Node.js v25 のEOL(6月1日) が最大の注目ポイントです。v25 を CI/CD や開発環境で利用している場合は今すぐ v24 LTS または v26 Current への移行計画を立ててください。また Angular v22 RC(v22.0.0-rc.1)の進捗や Vue 3.6.0(beta.12が進行中・Vapor モード搭載予定)のリリース動向も引き続き注目です。Kubernetes v1.33(EOL: 6/28)と Spring Boot 3.5(EOL: 6/30)も1か月強に迫っており、インフラ・フレームワークのバージョン棚卸しをこのタイミングで実施しておくことをお勧めします。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。