Aber mal unabhängig von Spam oder Scam - wie seht ihr diese Lücke? Ist sie ernst zu nehmen?

Naja. Wenn ein Benutzer das Passwort ändert, damit nicht ein Dritter, der - ganz gleich, ob legal oder nicht - an das Passwort gelangt ist, unter seinem Name Beiträge editiert, dann ist die Situation „mindestens unschön“.

Wie gravierend muss man das für eine Seite wie das Self-Wiki einschätzen?

Wie schon geschrieben: „mindestens unschön“. Es stellt sich die Frage nach den möglichen Folgen. Die muten hier erst einmal als „eher gering“ an.

Wenn es einfach (z.B. via eines Inklude/AddIn - z.B. durch Hinzufügen einer oder weniger Datei(en) in ein Verzeichnis) ist, bei einer Passwortänderung alle Sessions des betroffenen Benutzers zu killen und wenn dabei nicht die Gefahr besteht, dass andere Löcher geöffnet werden, dann sollte man das wohl machen.

Ansonsten kann man bei diesem Problem wohl warten, was die Macher des Media-Wiki „austun“.

Nachricht des Tages ;-)