今週(6/22〜6/26)は延べ26件(ユニーク16件)のリリースが確認されました。最緊急は水曜日にリリースされた Node.js v26.3.1 のセキュリティパッチで、TLSホスト名検証バイパスとWebCrypto出力長不備という高深刻度CVE2件を含む計10件の修正が含まれます。火曜日には @astrojs/cloudflare v14.0.0 のVite v8対応メジャーリリース、金曜日には Node.js v26.4.0 の新機能追加と Laravel v13.17.0 のマイナーアップデートなど週後半にリリースが集中しました。EOL面では Kubernetes 1.33 が明日(6/28)、Spring Boot 3.5 が3日後(6/30)にサポート終了を迎えます。
週間サマリーテーブル
※以下は各日の日報のリリース件数を集計した延べカウントです。同一バージョンが複数日にわたって掲載された場合も計上しています(ユニーク件数:16件)。
| 指標 | 月(6/22) | 火(6/23) | 水(6/24) | 木(6/25) | 金(6/26) | 週合計(延べ) |
|---|---|---|---|---|---|---|
| Major / Security | 0 | 1 | 1 | 1 | 4 | 7件 |
| Minor | 0 | 0 | 0 | 1 | 2 | 3件 |
| Patch | 0 | 0 | 2 | 3 | 2 | 7件 |
| Prerelease | 1 | 1 | 1 | 3 | 3 | 9件 |
| 合計 | 1 | 2 | 4 | 8 | 11 | 26件 |
注目リリース TOP5
1. Node.js v26.3.1 / v24.17.0 / v22.23.1(security)
今週最重要のセキュリティリリースです。2026年6月23日リリース。v22・v24・v26の全アクティブブランチを対象に計10件のCVEが修正されました。そのうち2件が**高深刻度(High)**です。
| 深刻度 | CVE | 内容 |
|---|---|---|
| High | CVE-2026-48618 | TLS: ホスト名正規化不備によるサーバー認証バイパス |
| High | CVE-2026-48933 | crypto: WebCrypto 暗号化出力長の検証不備 |
| Medium | CVE-2026-48615 | トンネルエラーへのプロキシ認証情報漏洩 |
| Medium | CVE-2026-48619 | HTTP/2: originSet無制限増大によるメモリ枯渇 |
| Medium | CVE-2026-48928 | TLS: SNIコンテキストの大文字小文字非感応マッチング |
| Medium | CVE-2026-48930 | dns/net: NULバイトを含むホスト名の未拒否 |
| Medium | CVE-2026-48934 | TLS: 再利用セッションが非認証ホストに適用 |
| Low×3 | CVE-2026-48617/48931/48935 | permission / http / TLS 各種修正 |
TLS関連の修正が5件と多く、特に CVE-2026-48618(ホスト名正規化バイパス)はサーバー認証の信頼性に関わる重大な問題です。本番環境でHTTPS通信を利用しているアプリケーションは最優先での対応を推奨します。
- v26(Current)→ v26.3.1
- v24(LTS)→ v24.17.0
- v22(LTS)→ v22.23.1
2. @astrojs/cloudflare v14.0.0(major — Vite v8対応)
2026年6月22日リリース。Astro 7.0の正式リリースに伴い、CloudflareアダプターもVite v8対応を含むメジャーバージョンへアップデートされました。
主な変更点:
- Vite v8対応 — Astro 7.0系が採用するVite v8に対応。Cloudflare Workers / Pages へのビルドパフォーマンスが向上(PR #15819)
- CloudflareのCDNキャッシュプロバイダー追加 —
cacheCloudflare()によるルートキャッシング対応。現在private betaのCloudflare Workers Cache feature が必要(PR #16335)
Viteプラグインを直接利用している場合は互換性確認が必要です。astro@7.0.0 と合わせての利用が前提となります。
3. Node.js v26.4.0(新機能追加)
2026年6月24日リリース。破壊的変更のないSEMVER-MINOR新機能追加リリースです。
- loader: package maps の実装 — ESMローダーでモジュール解決のカスタマイズが可能に(#62239)
- fs:
readFile()caller-supplied バッファサポート — ゼロコピー読み取り・バッファ再利用が可能に(#63634) - http:
closeIdleConnectionsでのプリリクエストソケットクローズ — グレースフルシャットダウン時のリーク防止(#63470) - net:
TCP_KEEPINTVL/TCP_KEEPIDLEサポート — TCP keepaliveの詳細パラメータを個別設定可能
v26.xを使用している場合、セキュリティパッチ(v26.3.1)と合わせてv26.4.0へのアップデートを検討してください。
4. Laravel v13.17.0(minor — セキュリティ改善&新API)
2026年6月23日リリース。12.x・13.x両系統に変更が含まれます。
- JsonSchema
$ref展開制限 — 悪意ある入力によるリソース枯渇攻撃を防ぐセキュリティ改善(PR #60524) - キャッシュロック
refresh()メソッド追加 — ロックを期限リセットしつつ保持できる新API(PR #58349) - 接続断検知エラーメッセージの拡充 — DB接続断のより正確な検出(PR #60472)
- 型定義の改善 —
InteractsWithDataのwhen*ヘルパー型定義を改善(PR #60536)
composer update laravel/framework で適用可能。JsonSchemaデシリアライザを独自拡張している場合は $ref 展開制限の影響確認を行ってください。
5. Vite v8.1.0
2026年6月25日リリース。Vite 8系のマイナーアップデートです。同日リリースされた create-vite 9.1.0 も合わせてアップデートすることを推奨します。詳細は CHANGELOG.md をご参照ください。
EOL / サポート期限情報
今週は月曜から金曜まで一貫してEOL警告が繰り返された週でした。週報発行時点では以下の状況です。
直近EOL警告
| プロダクト | バージョン | EOL日 | 発行日時点の残り | 推奨移行先 |
|---|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 明日(1日) | 1.34 以上(最新: 1.36.2) |
| Spring Boot | 3.5 | 2026-06-30 | 3日 | 4.0 または 4.1 |
| Nuxt | 3 | 2026-07-31 | 34日 | Nuxt 4(4.4.8) |
| Node.js | 25 | 2026-06-01 | EOL済み | 24(LTS)または 26 |
Kubernetes 1.33(EOL: 2026-06-28)
明日EOLを迎えます。 本番環境でKubernetes 1.33を使用している場合、今週末が実質的なラストチャンスです。移行先は現在サポート中の v1.34(EOL: 2026-10-27)・v1.35(EOL: 2027-02-28)・v1.36(EOL: 2027-06-28、最新: v1.36.2)のいずれかを推奨します。EOL後はセキュリティパッチが提供されなくなるため、継続利用は重大なリスクを伴います。
Spring Boot 3.5(EOL: 2026-06-30)
3日後にEOLを迎えます。 金曜日にリリースされた v3.5.16(依存ライブラリ更新のみのMaintenance Release)が3.5系最後のリリースとなる可能性があります。移行先はSpring Boot 4.0(EOL: 2026-12-31)または 4.1(EOL: 2027-07-31)を推奨します。Spring Framework 7への対応も必要なため、まとまった移行作業が伴います。テスト工数を考慮した計画を立ててください。
Nuxt 3(EOL: 2026-07-31)
残り34日です。Nuxt 4(現行最新: v4.4.8)への移行計画を今月中に着手することを推奨します。
日別ダイジェスト
- 6/22(月): 1件 — Next.js v16.2.9 dist-tag修正のみ・K8s 1.33残り6日/Spring Boot 3.5残り8日の警告開始
- 6/23(火): 2件 — @astrojs/cloudflare v14.0.0 Vite v8対応メジャーが今週初の重要リリース
- 6/24(水): 4件 — Node.js v26.3.1 高CVE×2を含む10件のセキュリティパッチが最重要
- 6/25(木): 8件 — Laravel v13.17.0 マイナー・Svelte 5.56.4パッチほかリリースが増加
- 6/26(金): 11件 — Node.js v26.4.0新機能・Vite v8.1.0・Vue v3.5.39・Spring Boot v3.5.16(最終Maint.)等が集中
まとめ・来週の注目ポイント
今週はNode.jsが週の前半にセキュリティパッチ(v26.3.1)、週の後半に新機能追加リリース(v26.4.0)と2本立てで登場し、存在感を示しました。v22/v24/v26全ラインを対象とした高CVEパッチは最優先の対応が必要です。フロントエンドエコシステムではAstro 7.0のリリースに伴いCloudflareアダプター(v14.0.0)が正式リリースされ、Vite v8エコシステムへの移行が本格化しています。Laravel v13.17.0はセキュリティ改善と実用的な新APIを含む安定したマイナーアップデートで、早めの適用を推奨します。
来週(6/29〜7/3)の最大注目点は、Kubernetes 1.33(6/28 EOL)と Spring Boot 3.5(6/30 EOL)のサポート終了後の動向です。EOL後も既存システムはすぐに停止しませんが、セキュリティパッチ供給が終了するため、継続利用はリスクを伴います。また TypeScript 7.0.1-rc の正式リリース動向、NestJS 12.0.0-alpha の続報、Vue 3.6 beta や Next.js 16.3 canary などの次世代バージョン開発も引き続き注目ポイントです。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。