Tôi đã gửi nó cho nhóm Bảo mật Magento và phản hồi của họ là:
Chúng tôi thực hiện theo khuyến nghị của PayPal và các URL được cập nhật trong M2 tuy nhiên không có hậu quả nào được liệt kê trên trang web PayPal khi sử dụng điểm cuối paypal.com, chỉ là một đề xuất thay đổi, điều đó có nghĩa là không cần bản vá cho các phiên bản trước cho đến khi có thông báo xa hơn từ PayPal
Cập nhật câu trả lời của tôi:
Trong khi đó Magento đã phát hành một bản vá cho điều này cho Magento 1:
"SUPEE-8167 Bản vá này chứa bản cập nhật cho Magento với vị trí máy chủ PayPal IPN mới. Cần phải giữ giao dịch xử lý PayPal trước ngày 30 tháng 6 năm 2017. - Đã thêm vào ngày 8 tháng 5 năm 2017"
Xem thêm: https://magento.com/tech-resource/doad