A partir de la versión actual se ha configurado el convertidor de Markdown para eliminar cualquier HTML incrustado. Todas las instancias de CommonMarkConverter se crean con la opción:

new CommonMarkConverter([
    'html_input' => 'strip'
]);

Esta medida evita que se inyecte código HTML malicioso en los textos procesados. Consulta el código fuente para ver el cambio aplicado en los distintos archivos PHP.