Se você está pedindo ao usuário para inserir a senha existente antes de atualizá-la (o que você deve de qualquer maneira), e você tem uma maneira no seu site para alterar uma senha enviando um link para você, certifique-se de forçar o usuário a re -insira a senha antes de alterar o e-mail, caso contrário, alguém poderia apenas alterar o e-mail, pedir um novo link de senha, alterá-lo dessa forma e, em seguida, alterar o e-mail de volta, evitando completamente a verificação de senha existente.
Muitas vezes vejo esse problema em sites razoavelmente grandes e começo a questionar o quão seguras outras partes do site são.