Node.js 22.23.0リリース、TLS・WebCryptoの高深刻度CVEを含む11件のセキュリティ修正
Node.js公式が2026年6月18日、LTS版22系の最新セキュリティリリース「v22.23.0(Jod)」を公開しました。TLSのホスト名検証やWebCryptoの出力長チェックなど、Highと判定された2件を含む合計11件のCVEが修正されています。nghttp2やopenssl、llhttp、undiciなどの依存ライブラリも更新されています。
まとめでも翻訳でもない。公式発表を、AIが日本語でわかりやすく。
トピック: security解除
Node.js公式が2026年6月18日、LTS版22系の最新セキュリティリリース「v22.23.0(Jod)」を公開しました。TLSのホスト名検証やWebCryptoの出力長チェックなど、Highと判定された2件を含む合計11件のCVEが修正されています。nghttp2やopenssl、llhttp、undiciなどの依存ライブラリも更新されています。
Node.js公式が24.17.0(LTS、コードネーム'Krypton')をリリースしました。TLSのホスト名検証やWebCryptoの出力長チェックなど、深刻度Highを含む合計11件のCVEを修正するセキュリティ専用リリースです。あわせてOpenSSLやnghttp2などの依存ライブラリも更新されています。
Node.js公式が2026年6月18日にセキュリティリリースとしてv26.3.1(Current)を公開しました。深刻度Highの2件を含む合計11件のCVEが修正されており、TLSのホスト名検証やWebCryptoの出力長、HTTP/2のメモリ肥大化などが対象です。依存ライブラリのllhttp・undici・OpenSSLも更新されています。

GitHubは静的解析エンジンCodeQLの最新版2.26.0をリリースしました。GitHub code scanningの基盤であるCodeQLが新たに**Kotlin 2.4.0**をサポートし、**AIプロンプトインジェクション**を検出する機能が加わりました。詳細なクエリ内容は公開情報が限られていますが、主要な変更点は以上の2点です。

Hugging Face公式ブログに「MosaicLeaks: Can your research agent keep a secret?」というタイトルの記事が公開されましたが、本記事作成時点で参照できた原文には本文テキストが含まれておらず、具体的な内容を確認できませんでした。タイトルからは、AI研究エージェントが機密情報や秘匿すべきデータをどのように扱うかというセキュリティ・プライバシー観点の考察が想定されます。
pnpmの最新パッチ版10.34.4がリリースされ、pnpm-workspace.yamlやlockfileのエイリアスを悪用したパストラバーサル攻撃を防ぐセキュリティ修正が複数含まれました。また.npmrcの警告メッセージが引き起こしうるコマンドインジェクションのリスクも解消されています。悪意あるリポジトリを`pnpm install`した際の被害範囲を狭める内容です。
Google Cloudが2026年6月22日付のリリースノートを公開しました。Apigee Xの多数のCVE修正、Compute EngineとCloud BillingにおけるCUD推奨機能のGA化、Cloud SQLのCMEK対応バックアップGA、Looker 26.10やGemini Enterprise Agent Platformの新機能など、多くのサービスに更新が及んでいます。
GitHubは公式Blueskyアカウントで、共同研究によりLLMベースの文脈検証がSecret Scanningのアラート品質を向上させ、誤検知(false positive)を75.76%削減できたと発表しました。アラートの「量」よりも「質」が重要だという観点からの研究成果です。
VercelのOIDC発行サービス(oidc.vercel.com)が、トークンのaudienceクレームをデプロイごとにカスタマイズできる新機能を発表しました。従来は固定audienceだったOIDCトークンを、追加インフラなしで外部サービス向けに安全に変換できるトークン交換エンドポイントが追加されています。
Cloudflareは自社のImagesバインディングをアーキテクチャから見直す作業の中で、Rust製の人気HTTPライブラリ「hyper」に潜んでいたバグを偶然発見しました。このバグは複数のメジャーバージョンにわたって存在していたとされています。
Prometheusの次期メジャーバージョン候補3.13.0-rc.1がリリースされました。前段のrc.0がNPMからPNPMへの移行に伴うCI問題で完全公開に至らなかったため、rc.1はそのビルド周りの修正が中心です。ユーザー向けの変更点としてはサードパーティライセンスの配布方法が1件変わっており、あわせて未公開だったrc.0のセキュリティ修正やPromQLの新機能もまとめて紹介します。
OpenAIは、オープンソースのメンテナーが脆弱性を発見・検証・修正できるよう支援する新しい取り組み「Patch the Planet」を発表しました。これはOpenAIの「Daybreak」イニシアチブの一環で、AIと専門家によるレビューを組み合わせる点が特徴です。詳細な仕組みや対象範囲についてはまだ限られた情報しか公開されていません。
OpenAIは新たなセキュリティツール群「Daybreak」を発表しました。中核となるのは「Codex Security」と「GPT-5.5-Cyber」で、企業が脆弱性を発見・検証・修正するプロセスを大規模に支援することを目的としています。詳細な機能仕様は今後の発表を待つ必要があります。
軽量Webフレームワーク**Hono**のv4.12.27がリリースされ、hono/jsxのコンテキスト分離不備、hono/cssのcx()によるXSS、hono/aws-lambdaのヘッダー重複排除ロジックの不備という3件のセキュリティ問題が修正されました。SSRやAPI Gateway連携でこれらの機能を使っている場合は速やかなアップグレードが推奨されます。

Docker Blogが、ソフトウェアのサプライチェーンセキュリティを支える「SBOM(Software Bill of Materials)」について解説する記事を公開しました。SBOMの基本的な考え方や重要性、生成方法、利用すべきフォーマット・標準規格までを扱う内容です。タイトルが示す通り、今後は**SBOMなしでソフトウェアを出荷することが難しくなる**という前提で整理されています。
OpenAIは、先進AIに関する評価フレームワークや安全性の実践、国際協力を推進するため、Appia Foundationを通じて業界共通の基準づくりを支援していることを明らかにしました。具体的な取り組み内容については限られた情報しか公表されていませんが、AIガバナンスにおける国際連携の一環として位置づけられています。
pnpm 10.34.5では、悪意のあるpnpm-lock.yamlやスコープ付きパッケージ名を利用して仮想ストア外にファイルを書き込めるパストラバーサル脆弱性が2件修正されました。あわせてpnpm v12への切り替え・自動更新の不具合と、pnpm-workspace.yaml経由のプロキシ設定における環境変数展開の問題も解消されています。

Cloudflareは自社のOAuthエンジンをゼロダウンタイムで移行し、これまで限定提供だった「Self-Managed OAuth」を全ての開発者が利用できるようにしました。これにより、Cloudflareのアプリエコシステムへの参入障壁が下がることになります。

米ホワイトハウスが発表した新しい大統領令は、政府機関に対して2030年までにポスト量子暗号への移行を求める内容です。Cloudflareはこの大統領令を重要な一歩と評価しつつ、改善の余地や、政府・企業が実際に移行を進めるためのプレイブックを提示しています。
Node.js公式が24系LTS「Krypton」の最新パッチ24.18.0を公開しました。Buffer.poolSizeのデフォルト値拡大や、http/cryptoモジュールへのマイナー機能追加、多数のバグ修正・セキュリティ強化が含まれています。npmも11.16.0に更新されました。