今週(6/15〜6/19)は、月〜木にかけてパッチ・プレリリース中心の比較的穏やかな一週間でしたが、金曜日にNode.js v26.3.1の重大セキュリティリリースが到来しました。高深刻度CVE2件を含む10件超の修正で、v22/v24/v26の全アクティブブランチが対象です。また、Astroが週の前半にURLバグ修正(v6.4.7)、後半にURLデコーディングのセキュリティ強化(v6.4.8)と2段階でアップデートを行ったことも注目です。週を通じて一貫して警告されていたのはEOLの問題で、Kubernetes 1.33(6月28日)とSpring Boot 3.5(6月30日)のサポート終了が刻々と迫っています。セキュリティリリースへの対応とEOL移行が重なる、タスクが集中した一週間でした。
週間サマリーテーブル
※以下は各日の日報のリリース件数を集計した延べカウントです。同一バージョンが複数日にわたって掲載された場合も計上しています(ユニーク件数:13件)。
| 指標 | 月(6/15) | 火(6/16) | 水(6/17) | 木(6/18) | 金(6/19) | 週合計(延べ) |
|---|---|---|---|---|---|---|
| Major / Security | 0 | 1 | 1 | 0 | 1 | 3件 |
| Minor | 0 | 0 | 0 | 0 | 0 | 0件 |
| Patch | 1 | 1 | 2 | 2 | 4 | 10件 |
| Prerelease | 3 | 2 | 2 | 3 | 1 | 11件 |
| 合計 | 4 | 4 | 5 | 5 | 6 | 24件 |
注目リリース TOP5
Node.js v26.3.1 / v24.17.0 / v22.23.0(security)
今週最大の注目リリースです。2026年6月18日付けで、v22・v24・v26の全アクティブブランチが同時にセキュリティ更新されました。修正は10件超に及び、TLS・WebCrypto・HTTP/2・DNSなどコアモジュール全域に影響します。
高深刻度(High)の修正:
- CVE-2026-48618(
tls): サーバーID検証時のホスト名正規化処理の不備を修正(Matteo Collina) - CVE-2026-48933(
crypto): WebCrypto暗号化の出力バッファ長チェックが不十分だった問題を修正(Filip Skokan)
主な中深刻度(Medium)の修正:
- CVE-2026-48615(
lib,test): トンネルエラー時のプロキシ認証情報漏洩を修正 - CVE-2026-48619(
http2): originSetの無制限増加によるメモリ消費を防止 - CVE-2026-48928(
tls): SNIコンテキストマッチングの大文字小文字区別の不備を修正 - CVE-2026-48930(
dns,net): NULバイトを含むホスト名を拒否するよう修正 - CVE-2026-48934(
tls): 再利用可能なセッションを認証済みホストへバインドするよう修正
本番でNode.jsを使用しているすべてのプロジェクトで、使用バージョンに対応する最新セキュリティ版への更新を最優先してください。
- v26(Current)→ v26.3.1
- v24(LTS)→ v24.17.0
- v22(LTS)→ v22.23.0
Astro v6.4.7 → v6.4.8(patch)
今週はAstroが2段階でアップデートされました。
v6.4.7(6/15〜6/17確認): trailingSlash: 'never' 設定が反映されない問題、ダブルエンコードURL(%255B 等)で無条件に400エラーが返される問題を修正。Sanity Studioなどクライアントサイドルーターが正当にダブルエンコードURLを生成するツール利用者で動作が改善されます。
v6.4.8(6/18〜6/19確認): URLデコーディング回数の上限を厳格化するセキュリティ修正(PR #17109)。過剰なデコーディングを誘発する攻撃ベクターへの対策です。パッチリリースですがセキュリティ関連の変更のため、v6.4.8 への更新を推奨します。
Tailwind CSS v4.3.1(patch)
Node.js 26+ 環境での deprecation 警告(Module#register → Module#registerHooks)を解消し、警告なしにビルドを実行できるようになりました。また、@apply と CSS mixins の併用が可能になり、drop-shadow-* と calc() の組み合わせ修正、@tailwindcss/vite の Sourcemap 警告解消も含まれます。Node.js 26 移行後に Tailwind CSS の警告が出ていた方は早めのアップデートを。
NestJS v11.1.27(patch)
SSE async handler のteardown問題と、Fastify middleware のtrailing slash問題を修正。NestJS + SSEの組み合わせ、またはFastifyプラットフォームを利用している場合は早めの適用を推奨します。
Laravel v13.16.1(patch)
DevCommandsが自分自身の登録を妨げるバグを修正(PR #60526)。Artisan開発コマンドが正常に動作しないケースが発生していた場合は更新してください。
EOL / サポート期限情報
今週を通じて最も繰り返し警告されたのは、月末に迫るEOLです。週頭の「残り13〜15日」というカウントダウンは、週末時点で「残り8〜10日」まで縮まっています。
直近EOL警告
| プロダクト | バージョン | EOL日 | 発行日時点の残り | 推奨移行先 |
|---|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 8日 | 1.34 / 1.35 / 1.36 |
| Spring Boot | 3.5 | 2026-06-30 | 10日 | 4.0 または 4.1 |
| Nuxt | 3 | 2026-07-31 | 41日 | Nuxt 4 |
Kubernetes 1.33(EOL: 2026-06-28)
残り8日です。本番環境でKubernetes 1.33を使用している場合、クラスター移行のリードタイムを考えると実質的なタイムリミットは今週末です。移行先は現在サポート中の 1.34(EOL: 2026-10-27)・1.35(EOL: 2027-02-28)・1.36(EOL: 2027-06-28)のいずれかです。EOL後はセキュリティパッチが提供されなくなるため、継続利用は重大なリスクを伴います。
Spring Boot 3.5(EOL: 2026-06-30)
6月30日のEOLまで10日を切りました。移行先はSpring Boot 4.0(2025年11月リリース)または 4.1(2026年6月リリース)が推奨ですが、4.0はJakarta EE 11への切り替えを伴う大きな変更が含まれます。Java 17以上が必須となるため、JavaバージョンとEEライブラリの整合性も合わせて確認してください。テスト環境での検証を急いでください。
Nuxt 3(EOL: 2026-07-31)
残り41日です。Nuxt 4(2025年7月リリース)への移行には破壊的変更が含まれるため、公式マイグレーションガイドを確認しながら今月中に移行計画を着手することを推奨します。
すでにEOLとなっているバージョン(主要なもの)
| プロダクト | バージョン | EOL日 |
|---|---|---|
| Node.js | 25 | 2026-06-01 |
| Angular | 19 | 2026-05-19 |
| Django | 4.2 | 2026-04-07 |
| Laravel | 11 | 2026-03-12 |
| Next.js | 14 | 2025-10-26 |
日別ダイジェスト
- 6/15(月): 4件 — Tailwind CSS v4.3.1パッチほか、Spring Boot/K8s EOL警告開始(残り13〜15日)
- 6/16(火): 4件 — Astro v6.4.7 URLバグ修正・NestJS v11.1.27パッチ、EOL残り12〜14日
- 6/17(水): 5件 — Laravel v13.16.1パッチ追加、EOL残り11〜13日で今週中の対応を推奨
- 6/18(木): 5件 — Astro v6.4.8セキュリティ修正・Vue v3.5.38・Terraform v1.15.6、EOL残り10〜12日
- 6/19(金): 6件 — Node.js v26.3.1重大セキュリティリリース・Angular v22.0.2パッチ
まとめ・来週の注目ポイント
今週のリリース動向を振り返ると、フロントエンド・バックエンドともにパッチリリース中心の週でしたが、金曜日のNode.jsセキュリティリリースが一週間の締めとなりました。Astroが週の前後半でそれぞれバグ修正とセキュリティ修正を行ったことからもわかるように、URL処理まわりのセキュリティ対応がフロントエンドエコシステムで続いています。Minorリリースが0件というのも特徴的で、各プロジェクトが安定版の品質維持(patch)と次世代機能の開発(prerelease)を並行して進めている状況が見て取れます。
来週(6/22〜6/26)の最大注目点は、Kubernetes 1.33のEOL(6月28日) と Spring Boot 3.5のEOL(6月30日) です。移行が未完了のチームにとってはタイムリミット直前の最終週となります。Node.jsのセキュリティ更新(v22→v22.23.0、v24→v24.17.0、v26→v26.3.1)と並行して、インフラ・バックエンドのEOL移行を最優先で進めてください。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。