Depende de cómo lo configures. Si permite las solicitudes de origen cruzado desde cualquier dominio, entonces un atacante que encuentre las URL de imágenes puede hacer cualquier cosa que pueda hacer dentro de su aplicación de Javascript: la seguridad es exactamente la misma que la que tiene. Si restringes las solicitudes a tu servidor de aplicaciones específico, no deberían poder hacer nada, como no puedes en este momento.
CORS tiene como objetivo evitar ataques del lado del cliente, como cargar una imagen que el sitio remoto no puede ver (con una etiqueta de imagen en, por ejemplo, un servidor de Facebook), luego copiar el contenido a su servidor sin que el cliente esté consciente. Por lo tanto, la situación que describe es exactamente lo que maneja bien.
En este caso, es más importante que todas las funciones para guardar las imágenes modificadas en el servidor sean seguras, ya que podrían comprometer al servidor, o simplemente en sitios de terceros que utilizan su sistema como una forma de almacenar sus imágenes. No olvide que incluso con CORS habilitado, un atacante puede cargar fácilmente imágenes directamente desde su servidor si no realiza los pasos de autenticación adecuados, por ejemplo, ejecutando un comando cURL en la URL de la imagen.