Bu gibi sorunlar için log tutarsanız işlemin nereden yapıldığını fark edebilirsiniz.
Şifre sıfırlama bölümünde sabit bir veriyi şifreletiyorsanız token değerine erişim sağlıyor olabilir. Örneğin nasıl olsa sürekli değişiyor diye zaman verisini şifreleniyordur ancak sunucu saati ile local saat arasında fark var.
Anladığım kadarıyla düz php/pdo ile kodlanmış, admin paneli için Session kontrolü yaptırırken açık bırakmış olabilirsiniz.
Örn;
sayfanın üstüne if($_SESSION["admin"]) şeklinde kontrol eklersiniz, normal sayfa açılmaya çalışıldığında erişim sağlanmaz ancak postman gibi uygulamalar ile uzaktan "admin" değeri post edildiğinde sayfaya giriş yapar. Sebebi ise admin varsa geç mantığında kontrol olduğudur. Sayfa geçişlerinde sadece XX session varsa diye kontrol yaptırmayın, email&pass verilerini session'a atadıysanız SQL'den verilerin doğruluğunu kontrol ettirin.

Bu şekilde açık varsa uzaktan "üye güncelleme sayfası" dediğiniz bölüme erişimde sağlanabilir.

Not: Yukarıda belirttiğiniz mesaja istinaden aynı anda bütün kullanıcıların şifresini değiştiriyorsa SQL Injection açığı olma ihtimali çok yüksek. Biligleri değiştirdiği gibi farklı işlemlerde yapabilir veri sızıntısı söz konusu. Profesyonel destek almanızı öneririm.