Direi che sì, dovresti invalidarli. Il cambio di email potrebbe essere dovuto al fatto che l'account email è stato compromesso. E non c'è nulla di male nell'invalidarli, dato che l'utente è chiaramente loggato e può richiederne un altro se ne ha bisogno.
Detto questo, è molto più importante inviare un'e-mail di verifica alla vecchia posta prima di consentire una modifica e se l'utente ha perso l'accesso, invia invece un link di annullamento valido per almeno 7 giorni (idealmente di più). Altrimenti, rischi il furto dell'account.
Infine, se supporti 2FA, non dovresti consentire di reimpostare entrambi i fattori usando solo la posta elettronica.
PS: Inoltre non dovresti permettere di cambiare la posta per un periodo di tempo dopo il reset della password.