Não; não há nenhuma insegurança.
O utilizador não pode modificar livremente o e-mail na página de "recuperar palavra chave".
Essa página mostra dois campos: "nome de utilizador" e "endereço de correio electrónico". O utilizador pode escrever o que quiser nesses dois campos, mas se o e-mail escrito não existir já na base de dados, não será enviada nenhuma mensagem nem alterada nenhuma palavra chave nem endereço de correio. A menos que o nome de utilizador estiver correcto, e não for o de um administrador; nesse caso enviar-se-á uma mensagem para o e-mail que consta na base de dados para esse utilizador.
O que sim pode acontecer é que alguém se inscreva usando o e-mail de outra pessoa. Mas quando for enviada a mensagem de bem-vindas o verdadeiro utilizador descobrirá o abuso e poderá usar "recuperar palavra chave" para impedir que o abusador volte a entrar no sítio. Esse é um perigo inerente aos sítios que aceitam registo usando um endereço
de correio electrónico. O administrador do Moodle pode desactivar esse método e usar métodos mais seguros.