Enviei isso para a equipe do Magento Security e sua resposta foi:
Seguimos as recomendações do PayPal e os URLs atualizados no M2. No entanto, não há consequências listadas em um site do PayPal para o uso do terminal paypal.com, apenas uma recomendação para alterá-lo, o que significa que nenhum patch é necessário para versões anteriores até aviso prévio do PayPal
Atualize para minha resposta:
Enquanto isso, o Magento lançou um patch para o Magento 1:
"SUPEE-8167 Este patch contém atualização para Magento com a nova localização do servidor IPN do PayPal. É necessário manter as transações de processamento do PayPal após 30 de junho de 2017. - Adicionado em 8 de maio de 2017"
Veja também: https://magento.com/tech-resources/download