実装方式の詳細が書かれていないので、危険性についても「よく分からない」というのが正直なところです。既に指摘のあるパスワードの保護がなされていない点については、以下の動画を見ていただくのがよいと思います。なぜパスワードを保護しなければならないのかが2つ目、どう保護すればよいかが3つ目の動画になります。

超入門：ウェブサイトのパスワード保護～ウェブサイトへのパスワード攻撃の現状～ - YouTube
超入門：ウェブサイトのパスワード保護～ウェブサイトのパスワード管理に対する誤解～ - YouTube
超入門：ウェブサイトのパスワード保護～ウェブサイトでパスワードを保護する方法～ - YouTube

パスワードを平文で保存しているという、初歩的なミスをしていないと仮定すると。

• JSONをドキュメントルート下に置いていない
• サーバーに置いてある全てのファイルにおいてユーザーの入力を一切信用しない

らへんを守れば提示の環境下においては危険度は高くないと思います。

が、私の回答を信じるかどうかは質問者さん次第なので、これを実装したことによる責任は私は一切取れませんのでご承知おきを。

質問への直接的な回答ではないですが
最も大きな問題は、ファイルの排他制御だと思います。
json いうよりファイルを使用したシステム全般に言える事ですが、ちゃんとしようとすればするほどメンドイです。

いくつかパターンや、確認すべきことがありますので、
項目に分けて回答いたします。

ファイルの置き場所によって危険度が大きく違う

ドキュメントルート以下にファイルを設置している場合、
そのファイルの場所がわかる、わからない以前の問題で、
いずれにせよ危険となります。
なぜなら、ドキュメントルート以下であれば、
やろうと思えば、それ以下の全ファイルをダウンロードすることが、比較的容易だからです。
PHPファイルも含めてです。
そうなれば、セキュリティもクソもないのは、言うまでもありません。
ゆえに、WordPressなどのドキュメントルート以下にアプリケーションを設置するCMSは危険だと、一時期話題になったのです。
（現在はかなりセキュリティ措置が強化されている様子）
なので、httpアクセスからは、サーバーから403コード（閲覧許可を出していない）を返すことは最低限必須となります。
ただし、それでも破る方法はあるかと思いますので、故にいずれにせよと記載しました。
なので、どうしてもJSONファイルでの管理を余儀なくされている場合は、
ドキュメントルートより高階層にファイルを置くのが最低限のセキュリティ担保となるでしょう。

パスワードの記載に関して

さて、これは、DBで管理する上でも同じ措置をしますが、
パスワードは、記録する時はハッシュ＆ソルト化をした方を記録することが必須となります。
ユーザーがログインなどする際は、
PHPの照合関数を使用し、照合をかける、という措置です。
これを行うのは、万が一、DBを覗かれた、本件でのJSONファイルを見られた、または、流出してしまった場合でも、
BcryptやArgon2系の脆弱性がない、また平文が盗聴されていない限り、またログイン処理や認証に脆弱性がない場合、総当たり攻撃以外に偽ログインする方法はないからです。
（もしかしたら、攻撃方法はあるかもしれないが、多くの場合は大丈夫になる）
ここら辺のセキュリティ措置に関しては、よくよく勉強されるとよいかと。

JSONファイルの方が扱いがめんどくさい

さて、これは、もし、質問者さんが、DBの技術がないから、JSONファイル管理を選んでいるとしたらの話です。
ぶっちゃけ、DBの方が楽です。
検索機能もありますし、
特定のレコードに対してのコントロールや、テーブル間の同時コントロールなどが容易になるような設計や、仕様が盛り沢山です。
JSONファイルで管理するなら、それらの仕様や機能を、自身で実装せねばなりません。（もしくはライブラリ）
なので、もし、**DBだとハードル高そう・・・**と思ってJSONでやっているなら、
DBの勉強をされた方が、遥かにハードル低いです。

また、下記記事が大変参考になるかと思いますので、
ご一読されるとよいかと。

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

以上になります。

@kyoya0819さん
たびたびありがとうございます。
また内容不備ありましたら、ご指摘いただければ幸いです。