今週(2026年5月25日〜29日)は合計19件のOSSリリースが確認されました。最大のトピックは週を通じて継続した2点です。Next.js v16.2.6のHigh深刻度セキュリティ修正(5件) と、Node.js 25のEOL(2026年6月1日) への緊急対応。どちらも週末時点でまだ未対応であれば、この週末中の対処を強く推奨します。新着リリースとしては、Laravel v13.12.0・Svelte v5.55.10・Astro v6.4.2・Angular v21.2.15など幅広いエコシステムで動きがありました。
週間サマリーテーブル
| 指標 | 月(5/25) | 火(5/26) | 水(5/27) | 木(5/28) | 金(5/29) | 週合計 |
|---|---|---|---|---|---|---|
| Major | 1 | 0 | 1 | 2 | 1 | 5件 |
| Minor | 0 | 0 | 0 | 1 | 0 | 1件 |
| Patch | 0 | 1 | 1 | 1 | 3 | 6件 |
| Prerelease | 1 | 1 | 1 | 1 | 3 | 7件 |
| 合計 | 2 | 2 | 3 | 5 | 7 | 19件 |
週後半(木・金)にかけてリリース件数が増加。金曜日の7件は今週最多で、Svelte・Astro・Angularのパッチが集中しました。
注目リリース TOP5
1. Next.js v16.2.6 — High深刻度セキュリティ修正5件
prerelease(セキュリティパッチ) · 2026年5月25日初出 → 週を通じて継続対応
今週最重要リリース。App Routerを使用するNext.js v16系の利用者に影響する、重大度Highの脆弱性が5件修正されています。このリリースはcanaryの新機能を含まないバックポートリリースのため、v16系利用者は比較的安全にアップデートできます。
修正された脆弱性(すべてHigh):
| アドバイザリID | 内容 |
|---|---|
| GHSA-8h8q-6873-q5fj | Server ComponentsによるDoS(サービス拒否) |
| GHSA-267c-6grr-h53f | segment-prefetchルート経由のApp Routerミドルウェア/プロキシバイパス |
| GHSA-26hh-7cqf-hhc6 | 上記ミドルウェア/プロキシバイパスの不完全修正へのフォローアップ |
| GHSA-mg66-mrh9-m8jx | Cache Components使用アプリでの接続枯渇によるDoS |
| GHSA-492v-c6pp-mqqv | Middleware/Proxyバイパス(別経路) |
対象: App Routerを使用しているNext.js v16系。特にミドルウェアやリバースプロキシ(nginx・CDN等)の前段に配置しているケースは優先対応を推奨。
npm install next@16.2.6
2. Angular v21.2.14 / v21.2.15 — XSS対策を含むセキュリティ修正
major/prerelease · v21.2.14 → 2026年5月25日、v21.2.15 → 2026年5月29日
週前半にv21.2.14(XSS対策中心)、週末にv21.2.15(compiler/common修正)とAngularのパッチが2本到着しました。
v21.2.14の主な変更点(セキュリティ):
- テンプレートコンパイル時に名前空間付きSVG内の
<script>要素を除去(XSS対策) - URLサニタイザーの大文字小文字非依存化(バイパス攻撃防止)
<script>要素を動的コンポーネントのホスト要素として拒否
v21.2.15の主な変更点:
common:digitsInfoに上限値を追加、プレースホルダーのサニタイズ改善compiler: カスタム名前空間タグ名の正規化、名前空間付きSVG<style>要素の削除問題を修正
なお、Angular 19は2026年5月19日にEOL済みです。Angular 21(最新: v21.2.15)へのアップグレードを計画してください。
3. Laravel v13.12.0 — Queue・Scheduler・Filesystem改善
major · 2026年5月28日初出 → 5月29日にも継続掲載
Breaking Changesなしの機能追加・バグ修正リリース。実用的な改善が複数含まれています。
主な変更点:
- Worker接続切断時の自動再起動を無効化できるオプションを追加
- スケジュールイベントコールバックの引数を名前ではなく型で解決するよう変更
- LocalFilesystemAdapterでのパスセパレータのエンコーディング問題を修正
- pivotスタブへのファクトリ追加
ClearCommandのprohibitable対応- Mailerテスト: Symfonyの新しいコントロール文字例外メッセージに対応
composer update laravel/framework
4. Svelte v5.55.10 — async/batchバグ修正
patch · 2026年5月29日
Svelte 5の非同期処理(async/batch)に関する複数のバグが修正されました。$derived(await ...)を活用しているプロジェクトは早めの対応をお勧めします。
主な修正:
- エラーになったバッチ・完了したバッチのリンク解除
- バッチマージ時のエフェクト転送問題の修正
- 切断されたエフェクトルートで
$derived(await ...)を使用可能に @constの非同期ブロッカーをクロージャ参照経由で正しく伝播- 委譲イベント伝播で
composedPath()を直接ウォーク(パフォーマンス改善)
5. Astro v6.4.2 — MDX互換クラッシュ・SSRルート修正
patch · 2026年5月29日
旧バージョンの@astrojs/mdxやStarlightと組み合わせた際のクラッシュと、SSR動的ルートの404バグを修正するパッチです。
主な修正:
- pre-6.0の
@astrojs/mdxとStarlight等のインテグレーション組み合わせ時のplugins is not iterableクラッシュを修正 @astrojs/nodeアダプター使用時、アルファベット順で先行するプリレンダリング済みルートがある場合にSSR動的ルートが404を返す問題を修正
EOL / サポート期限情報
緊急: Node.js 25 — EOL 2026年6月1日(週末時点で残り2日)
今週最も繰り返し警告されたEOL情報です。月曜(残り7日)→火曜(6日)→水曜(5日)→木曜(4日)→金曜(3日)とカウントダウンが続きました。
Node.js 25はLTSではないカレントリリースのため、EOL後はセキュリティパッチが提供されなくなります。
推奨移行先:
| バージョン | ステータス | EOL日 |
|---|---|---|
| Node.js 26 | Active(LTS: 2026年10月〜予定) | 2029-04-30 |
| Node.js 24 | LTS Active(推奨) | 2028-04-30 |
| Node.js 22 | LTS Maintenance(推奨) | 2027-04-30 |
| Node.js 25 | EOL間近(6月1日) | 2026-06-01 |
今後3ヶ月以内のEOLスケジュール
| プロダクト | バージョン | EOL日 | ステータス |
|---|---|---|---|
| Angular | 19 | 2026-05-19 | EOL済み |
| Node.js | 25 | 2026-06-01 | 緊急(今週末) |
| Kubernetes | 1.33 | 2026-06-28 | 要注意(約1ヶ月) |
| Spring Boot | 3.5 | 2026-06-30 | 要注意(約1ヶ月) |
| Nuxt | 3 | 2026-07-31 | 注意(約2ヶ月) |
日別ダイジェスト
- 5/25(月): 2件 — Next.js v16.2.6 High×5件セキュリティ修正・Angular v21.2.14 XSS対策
- 5/26(火): 2件 — Next.js v16.2.6継続警告・NestJS v11.1.24パッチ・Node.js 25 EOL残り6日
- 5/27(水): 3件 — Astro language-server v2.16.10クラッシュ修正・NestJS v11.1.24・Node.js 25 EOL残り5日
- 5/28(木): 5件 — Laravel v13.12.0・Vue v3.5.35・Terraform v1.15.5の新着3件追加
- 5/29(金): 7件 — Svelte v5.55.10・Astro v6.4.2・Angular v21.2.15が新着・Node.js 25 EOL残り3日
週間トレンド分析
セキュリティ修正が週を主導
今週は「セキュリティ修正」が週間のトーンを決定づけました。Next.js v16.2.6のHigh×5件が月曜から金曜まで毎日取り上げられ、未対応の利用者への対応を促し続けました。App Routerの普及とともにミドルウェアの複雑性も増しており、こうしたバイパス系の脆弱性は今後も注意が必要です。
フロントエンドエコシステムが活発
週合計19件のうち、frontendカテゴリが大半を占めました。特に金曜日はSvelte・Astro・Angular・Vue・Next.jsとフロントエンド5本のリリースが集中。それぞれが独立したバグ修正・セキュリティ対応であり、フロントエンド周辺の開発活動の高さを示しています。
次世代バージョンの足音
Angular 22は22.0.0-rc.2まで進んでおり、正式リリースが目前です。Vue 3.6はbeta.13が継続更新中で、Astro 7はalpha.1が公開されました。NestJS 12もalpha.5がnextタグで公開されています。今週は現行バージョンの保守が中心でしたが、各エコシステムで次世代への移行準備が静かに進んでいます。テックリードとしては、今のうちに移行コストの事前評価を行っておくタイミングです。
Node.js LTSへの誘導が継続
奇数バージョン(25、23)からLTS(24、22)への移行というメッセージが今週を通じて繰り返されました。Node.js 26も10月からLTSになる予定であり、v25から直接v26へ移行するという選択肢も現実的になってきました。
まとめ・来週の注目ポイント
今週の最重要アクションは2点に集約されます。Next.js v16.2.6へのアップデート(App RouterとMiddleware/Cache Components利用者は特に優先)と、Node.js 25からLTSへの移行(6月1日がデッドライン)です。週末までに対応が完了していない場合は、この土日が最後のタイミングとなります。
来週の注目ポイントとしては、Node.js 25のEOL到達(6月1日)後の状況確認と、Angular 22の正式リリース(RC2まで到達しており時間の問題)が挙げられます。Laravel 13系やNuxt 3のEOL(7月末)に向けた移行計画も、そろそろ具体化を始めるべき時期です。Svelte 5のasync機能は積極的な開発が続いており、次週以降もパッチが来る可能性があります。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。