Вообще, я согласен, что ссылка должна иметь срок давности и становиться невалидной при смене пароля.
Но, не считаю это настолько большой проблемой безопасности, чтобы исправлять в продукте, который мы уже два года не развиваем.
Что касается ISPmanager, если вы дали пользователю доступ в свой аккаунт (т.е. в конечном итоге на сервер), он может столькими способами оставить себе лазейки для входа ... Не давайте доступ кому попало
Добавлено 05.08.14 в 14:14:24:
Ета ответ от саппорта
Что за панель у вас У меня на сервере нет фишки с восстановление пароля.
Добавлено 05.08.14 в 14:29:13:
версия 4.4.10.23
Очевидно что у тебя ISP Lite, а в ней нет доступа к настройкам политики в интерфейсе панели. Хотя я думаю, что такую функцию можно разрешить отредактировав ispmgr.conf.
По теме, - это не такой уж значимый баг, и решить можно просто отключением данной функции. Практически любой биллинг это умеет, так что отсутствие этой функции в ISP штатно ни на что особо не повлияет.