diff --git a/catatan_rilis_19.03-pasca.txt b/catatan_rilis_19.03-pasca.txt
index 3ff6847184..68118a5058 100644
--- a/catatan_rilis_19.03-pasca.txt
+++ b/catatan_rilis_19.03-pasca.txt
@@ -28,6 +28,7 @@ Lengkapnya, isi rilis versi 19.03-pasca:
 22. #1963: Sekarang Laporan Perkembangan Penduduk (Laporan Bulanan) menampilkan jumlah penduduk pendatang. [bug-fix]
 23. #845, #99, $698 dan semua issue terkait penataan hak akses: sekarang telah diterapkan penataan hak akses pengguna sesuai spesifikasi di http://bit.ly/2Vhqmyz.
 24. #1988: Sekarang nama file gambar yang diunggah di artikel harus berekstensi .jpg, .jpeg atau .png [security-fix]
+25. #1989: Tutup celah xss di pengisian nama menu di form menu. Tutup celah memasukkan html pada setting di Pengaturan Aplikasi. [security-fix]
 
 
 Apabila meng-upgrade (yaitu bukan install baru) dari versi SEBELUM versi 19.03-pasca, struktur database dan/atau folder desa perlu diubah dengan menjalankan fitur Database > Migrasi DB. Fitur migrasi ini melakukan perubahan database dan/atau folder desa yang diperlukan.
diff --git a/donjo-app/models/Setting_model.php b/donjo-app/models/Setting_model.php
index 3306a87906..de1a557f54 100644
--- a/donjo-app/models/Setting_model.php
+++ b/donjo-app/models/Setting_model.php
@@ -71,6 +71,7 @@ public function update($data)
 			// Update setting yang diubah
 			if ($this->setting->$key != $value)
 			{
+				$value = strip_tags($value);
 				$outp = $this->db->where('key', $key)->update('setting_aplikasi', array('key'=>$key, 'value'=>$value));
 				$this->setting->$key = $value;
 				if (!$outp) $_SESSION['success'] = -1;
diff --git a/donjo-app/models/Web_menu_model.php b/donjo-app/models/Web_menu_model.php
index fdbfa79aa0..3ecc5898d7 100644
--- a/donjo-app/models/Web_menu_model.php
+++ b/donjo-app/models/Web_menu_model.php
@@ -98,6 +98,7 @@ public function insert($tip=1)
 		$data = $_POST;
 		$data['tipe'] = $tip;
 		$data['urut'] = $this->urut_max($tip) + 1;
+		$data['nama'] = strip_tags($data['nama']);
 		$outp = $this->db->insert('menu',$data);
 		if ($outp) $_SESSION['success'] = 1;
 		else $_SESSION['success'] = -1;
@@ -107,6 +108,7 @@ public function insert($tip=1)
 	public function update($id=0)
 	{
 		$data = $_POST;
+		$data['nama'] = strip_tags($data['nama']);
 		if ($data['link']=="")
 			UNSET($data['link']);